sistemas instrumentados de seguridadsauron.etse.urv.es/public/propostes/pub/pdf/1232pub.pdfÍndice...

1

Sistemas Instrumentados de Seguridad

TITULACIÓ: Enginyeria en Automàtica i Electrònica Industrial

AUTORS: Xavier Galindo Díez. DIRECTORS: Alfonso Romero.

DATA: juny / 2012.

Índice Sistemas Instrumentados de Seguridad

2

Índice

1 INTRODUCCIÓN 8

2 ALCANCE 13

3 NORMATIVA Y ESTÁNDARES 15

3.1 IEC 61508, IEC 61511 16

3.2 ANSI/ISA-S84.01-1996 20

4 ABREVIACIONES 23

5 CONCEPTOS Y DEFINICIONES 25

5.1 ¿Qué es el Riesgo? 25 5.1.1 Riesgo Inherente 25 5.1.2 Riesgo Tolerable 26 5.1.3 Riesgo Individual. Principio ALARP 27 5.1.4 Riesgo geográfico 29 5.1.5 Riesgo en la sociedad 29 5.1.6 Factor de Reducción de Riesgo (RRF) 29

5.2 Índice SIL. Nivel Íntegro de Seguridad 31

5.3 SIF. Función Instrumentada de Seguridad 32

5.4 Auditoria de seguridad funcional (Functional safety audit) 33

5.5 Árbol de fallos. 34

5.6 Avería (Failure). 34

5.7 BPCS. Sistema Básico de Control de Proceso. 34

5.8 Capas de protección. 34

5.9 Ciclo de vida de seguridad (CVS). Safety LifeCicle (SLC) 34

5.10 Comisionamiento 34

5.11 Comunicación externa 35

5.12 Comunicación interna 35

5.13 Confiabilidad (Reliability) 35

5.14 Daño 35

5.15 Peligro (Hazard) 35

5.16 Demanda 35


3

5.17 Desenergizado/Energizado para disparo. 35

5.18 Desmantelamiento 35

5.19 Cobertura de diagnóstico (DC) 36

5.20 Disparos en falso 36

5.21 Disponibilidad de seguridad 36

5.22 Dispositivos 36

5.23 Diversidad 36

5.24 Elemento final de control 36

5.25 Estado seguro 37

5.26 Error 37

5.27 Error humano 37

5.28 Especificaciones de los requisitos de seguridad (SRS). (Safety Requirement Specifications) 37

5.29 Factor de Reducción de Riesgo (RRF). (Risk reduction Factor) 37

5.30 Fallo 37

5.31 Fallo activo 37

5.32 Fallo aleatorio 37

5.33 Fallo dependiente 37

5.34 Fallo pasivo 38

5.35 Fallo peligroso 38

5.36 Fallo sistemático 38

5.37 Fallo seguro 38

5.38 Fallo de causa común 38

5.39 Fallo de modo común 39

5.40 Función lógica (Logic function) 39

5.41 Instalaciones externas de reducción de riesgo 39

5.42 Interfaz Mantenimineto/Ingenieria (Maintenance/engineering interface) 39

5.43 Lenguajes Software en subsistemas SIS. (Software languages in SIS subsystems) 39

5.44 Tipos de software 40

5.45 Manual de seguridad. (Safety Manual) 40


4

5.46 Mitigación (Mitigation) 40

5.47 MooN system (Sistema MooN) 40

5.48 MOC, Management of change 40

5.49 Modo de operación (Mode of operation) 41

5.50 MTTF 42

5.51 MTTR 42

5.52 MTBF 42

5.53 Nivel Íntegro de Seguridad (SIL). (Safety Integrity Level) 42

5.54 Operator interface. Interface Operador 43

5.55 Proven in use 43

5.56 Probabilidad de fallo en demanda (PFD) 43

5.57 Redundancia (Redundancy) 43

5.58 Resolvedor Lógico. (Logic Solver) 43

5.59 Riesgo del proceso (Risk Process) 43

5.60 Seguridad Funcional (Functional Safety) 43

5.61 Sensor. 44

5.62 Sistema Instrumentado de Seguridad (SIS). (Safety Instrumented System) 44

5.63 Tasa de demanda 44

5.64 Tasa de fallos (λ) 44

5.65 Test de ensayos (Proof Test) 45

5.66 Tolerancia a fallos 45

5.67 Valoración, evaluación de la seguridad funcional (Functional safety assessment) 45

5.68 Validación. 45

5.69 Verificación. 46

6 GERENCIA DE SEGURIDAD FUNCIONAL 47

6.1 Requisitos generales 47 6.1.1 Recursos y Organización 47 6.1.2 Evaluación y gestión del riesgo 48 6.1.3 Planificación de seguridad y responsabilidades E&I durante el Ciclo de vida 49 6.1.4 Implementación y seguimiento 51

6.2 Evaluación, Auditorias y Revisiones 51 6.2.1 Evaluación de la seguridad funcional 51


5

6.2.2 Evaluación y Revisión de las actividades durante el ciclo de vida 52 6.2.3 Auditorias y revisión 54

7 SISTEMA INSTRUMENTADO DE SEGURIDAD 55

7.1 Ciclo de Vida de Seguridad 59 7.1.1 Fase “Análisis” del Ciclo de Vida de Seguridad SIS 64 7.1.2 Diseño Conceptual del Proceso 65 7.1.3 Análisis de Peligros y Riesgos del Proceso 65 7.1.4 Aplicación de capas no-SIS 66 7.1.5 Criterios para determinar la necesidad de un SIS 66 7.1.6 Selección del SIL objetivo 67 7.1.7 Especificaciones de Requerimientos de Seguridad, SRS 68 7.1.8 Fase “Implementación” del Ciclo de Vida de Seguridad SIS 68 7.1.9 Ingeniería y diseño del SIS 69

7.1.9.1 Diseño conceptual del SIS 70 7.1.9.2 Diseño de detalle del SIS 70

7.1.10 Verificación del SIL 70 7.1.11 Pruebas de Aceptación de Fábrica (FAT) 71 7.1.12 Instalación y Comisionado 71 7.1.13 Fase “Operación” del Ciclo de Vida de Seguridad SIS 72 7.1.14 Operación y Mantenimiento 73 7.1.15 Modificaciones del SIS 74 7.1.16 Desmantelamiento del SIS 74

7.2 Métodos de Identificación y Análisis de Riesgos de Procesos (PHA’s) 75 7.2.1 Marco legislativo 75 7.2.2 Técnicas de Identificación de Riesgos y Análisis de Peligros 78 7.2.3 Metodología HAZOP 81

7.2.3.1 Procedimiento. 83 7.2.3.2 Puntos fuertes y débiles de la metodología HAZOP 84 7.2.3.3 Desarrollo del estudio HAZOP 85

7.2.4 Revisión de la seguridad 93

7.3 Asignación del SIL objetivo 94 7.3.1 Métodos cualitativos 94 7.3.2 Métodos cuantitativos 106 7.3.3 Revisión de la seguridad 112

7.4 Especificaciones de los requerimientos de seguridad (SRS) 113 7.4.1 Especificaciones funcionales 115 7.4.2 Especificaciones de integridad 116 7.4.3 Especificaciones de sobrevivencia 118 7.4.4 Documentación SRS 118 7.4.5 Ejemplo de Requerimientos básicos de seguridad 120

7.5 Ingeniería y Diseño del SIS. 124 7.5.1 Independencia entre los componentes del SIS y del BPCS 125 7.5.2 Identificación y etiquetado de las Funciones Instrumentadas de Seguridad y Sistemas

Instrumentados de Seguridad 126 7.5.3 Sensores de campo 127

7.5.3.1 Transmisores inteligentes 130 7.5.3.2 Diagnósticos de sensores 130

7.5.4 Elementos finales de control 131 7.5.4.1 Diagnósticos de válvulas 133 7.5.4.2 Posicionadores inteligentes en válvulas 133 7.5.4.3 Test de recorrido parcial (PST – Partial Stroke Test) 134

7.5.5 Tecnología de control. Selección 139 7.5.6 PLC de seguridad 143


6

7.5.6.1 Software de Aplicación 144 7.5.6.2 Documentación 145 7.5.6.3 Operación, mantenimiento y modificación 146

7.5.7 Selección de equipos. Equipos Certificados o uso previo 147 7.5.8 Tolerancia a Fallos Hardware (HFT). Selección de Arquitectura. 149

7.5.8.1 HFT según norma IEC 61511 y IEC 61508 161 7.5.9 Comunicación entre el BPCS y el SIS 167 7.5.10 Fuentes de energía 168

7.5.10.1 Fuentes de energía eléctrica 168 7.5.10.2 Conexión a tierra 169 7.5.10.3 Fuentes de energía neumática 169

7.5.11 Interfaces 170 7.5.11.1 Interfaces de operador 170 7.5.11.2 Interfaces de ingeniería y mantenimiento 172 7.5.11.3 Interfaz de comunicación 172

7.5.12 Mantenimiento y pruebas funcionales 173 7.5.12.1 Como establecer la frecuencia del test 176 7.5.12.2 Documentación 177

7.5.13 Cableado de los elementos de campo 177 7.5.14 Consideraciones ambientales 178 7.5.15 Fallos de causa común 179 7.5.16 Fallos sistemáticos 182 7.5.17 Revisión de seguridad de diseño e ingeniería 183

7.6 Verificación del SIL de una SIF. 184 7.6.1 Introducción 184 7.6.2 Procedimiento 186 7.6.3 Cálculo PFDavg y MTTFspurious. Modelo Ecuaciones Simplificadas. 188

7.6.3.1 Cálculo PFDavg 188 7.6.3.2 Cálculo MTTFspurious 195 7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas 200 7.6.3.4 Ejemplo de cálculo utilizando el modelo de ecuaciones simplificadas 201

7.6.4 Observaciones. Uso de guías propias estandarizadas 207 7.6.4.1 Arquitecturas típicas 211 7.6.4.2 Desviación de las arquitecturas típicas 212 7.6.4.3 Cálculo PFDavg 215

7.7 Pruebas de aceptación de fábrica (FAT, Factory Acceptance Test) 218

7.8 Instalación y Comisionado 219 7.8.1 PSAT (Pre-Start Acceptance Test) 222

7.9 Operación y Mantenimiento 225 7.9.1 Procedimientos de operación y mantenimiento 225 7.9.2 PSSR (Pre-Startup Safety Review) 228 7.9.3 Pruebas funcionales del SIS (Proof Testing) 229

7.9.3.1 Metodología de test 230 7.9.3.2 Documentación 231

7.10 Modificación del SIS durante operación 231 7.10.1 Cuando es necesario aplicar la gestión de modificaciones (MOC) 232 7.10.2 Requerimientos de los procedimientos MOC 233 7.10.3 Documentación 234 7.10.4 Decomisionado 235

8 ANEXOS 236

8.1 ANEXO A: Vista general del ciclo de vida (IEC 61511) 236


7

8.2 ANEXO B: Ejemplo HAZOP Sistema Antorcha. 238

8.3 ANEXO C: Respuestas a las Recomendaciones 240

8.4 ANEXO D: Asignación SIL a una SIF: Matriz de Riesgo 241

8.5 ANEXO E: P&ID 242

8.6 ANEXO F: CEM, Matriz Causa Efecto 243

8.7 ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de Seguridad (SIF) 244

8.7.1 SRS: SIF Nº 1: 244 8.7.2 SRS: SIF Nº 2: 244

8.8 ANEXO H: Cálculo SIL; Verificación 245 8.8.1 SIF Nº 1: 245 8.8.2 SIF Nº 2: 248

8.9 ANEXO I: Hojas Técnicas 252

8.10 ANEXO J: Lazos de Control 253

8.11 ANEXO K: Diagramas Lógicos 254

8.12 ANEXO M: Sinópticos BPCS 255

8.13 ANEXO N: Pruebas de Lazo de Seguridad 256

8.14 ANEXO O: Hojas PSSR; (Pre Start Safety Review) 257

8.15 ANEXO P: Protección de la información: Sistema Instrumentado de Seguridad 258

Introducción Sistemas Instrumentados de Seguridad

8

1 Introducción

La seguridad en las plantas es la mayor preocupación en la industria de procesos “Safety first1”. Plantas químicas, petroquímicas, de refino del petróleo, etc., necesitan implementar soluciones para resolver este problema. Como veremos más adelante un sistema instrumentado de seguridad (SIS), también referido como sistema de paro de emergencia (ESD2) se instala en un proceso industrial para prevenir situaciones de riesgo por descontrol del proceso que puede llevar a una situación de peligro, reduciendo el riesgo que puede llegar a ser peligroso a un riesgo tolerable, reduciendo la frecuencia de incidentes y accidentes no deseados, parando el proceso antes de que se produzca el posible accidente. Por tanto, el propósito final del SIS es llevar el proceso y/o equipos específicos del proceso a un estado seguro mediante instrumentación y control. La cantidad de reducción de riesgo que el SIS debe proporcionar viene representada por su nivel de integridad de seguridad (SIL), que se define como un rango de probabilidad de fallo en demanda.

Por otro lado, también existe la posibilidad de que algún elemento del sistema de seguridad falle y nos lleve el proceso a un estado seguro sin que se haya producido ningún evento peligroso, es lo que se conoce como paros en falso (spurious trips), estos también han de ser considerados a la hora de aplicar un sistema de seguridad.

Por esta razón se ha de asegurar en el diseño de un sistema instrumentado de seguridad que cumpla con dos premisas claves, seguridad y disponibilidad en el proceso.

Las instalaciones industriales almacenan, procesan, y generan sustancias peligrosas, que tienen asociado un determinado nivel de riesgo dependiendo de la posibilidad que exista de provocar consecuencias adversas sobre receptores vulnerables (personas, bienes materiales y medio ambiente) como resultado de efectos no deseados (térmicos, físicos y químicos) originados por sucesos incontrolados en sus instalaciones. Un sistema instrumentado de seguridad percibe una desviación de las condiciones normales de proceso que pueden llevar a un peligro para la integridad de las personas, medio ambiente y la propia instalación y es entonces cuando toma la acción para llevar el proceso a un estado seguro, previniendo un accidente no deseado.

Estos riesgos potenciales exigen que las plantas adopten estrictos criterios de diseño en las instalaciones y equipos y en la necesidad de implantar medidas de seguridad. Estas medidas de seguridad se traducen en múltiples capas de protección (figura 1.1) de las instalaciones.

1 Eslogan de muchas empresas “primero seguridad” 2 Emergency ShutDown


9

Figura 1.1 Capas de protección

Cada capa de protección está compuesta de equipos y/o procedimientos de control que actúan conjuntamente con otras capas de protección para controlar y/o mitigar los riesgos de los procesos.

La reducción global del riesgo resulta de la adopción de las medidas de las distintas capas de protección y en última instancia debe resultar un riesgo remanente tolerable (figura 1.2).

Figura 1.2 Reducción del riesgo

Las capas de protección de los procesos se dividen en:

• Aquellas capas destinadas a prevenir el accidente, como son el sistema de control, las alarmas críticas (monitorización del proceso), las actuaciones por parte del operador y los Sistemas Instrumentados de Seguridad (SIS).

• Aquellas capas destinadas a mitigar el incidente/accidente, como pueden ser los sistemas Fuego y Gas (sistema de detección, alarma y extinción de incendios o


10

nubes de gas), sistemas de alivio, de protección física, la respuesta de la planta ante emergencia (plan de emergencia interior, PEI) o la respuesta de la población ante emergencia (plan de emergencia exterior, PEE).

Las medidas de seguridad o capas de protección a adoptar en las instalaciones se derivarán de la elaboración de un Análisis de Riesgos. Existen un gran número de técnicas de identificación de riesgos, como bases de datos de accidentes, HAZOP (análisis de peligros y operabilidad), análisis what if?, FCMEA (análisis de fallo, efectos y consecuencias), análisis mediante árboles fallo (FTA) y árboles de suceso (ET), etc. La técnica de identificación seleccionada dependerá de los propósitos perseguidos con la identificación de riesgos, así como de los datos y recursos disponibles.

La implementación de un Sistema Instrumentado de Seguridad (ver figura 1.3) deriva de la aplicación de un análisis de riesgos. En particular la metodología HAZOP es la más extendida y adaptada en la mayoría de los procesos industriales, que nos dirá la necesidad de aplicar esta capa de seguridad, así como el sistema Fuego y Gas (F&G) que activa medidas de seguridad en caso de incendio o fuga de gas en las instalaciones.

Figura 1.3. Componentes de un Sistema Instrumentado de Seguridad

De esta forma, después de la elaboración de un análisis de riesgos, se decidirá qué valor objetivo SIL (Safety Integrity Level) exigimos, esto permitirá evaluar cual es el nivel de seguridad exigible a los Sistema Instrumentados de Seguridad, así como verificar si estos cumplen los requisitos establecidos en la normativa de aplicación de acuerdo a dicho SIL.

Los métodos usados para la selección del SIL se basan en el propio riesgo si un accidente ocurre, una evaluación de las consecuencias y probabilidades de un accidente y una evaluación de la eficacia de todas las protecciones y seguridades relevantes del proceso. Implementar un SIS, y por lo tanto seleccionar un SIL, implicará considerar leyes, regulaciones y estándares nacionales e internacionales.

Antes del año 1980 no había normas o estándares de ingeniería para el diseño de sistemas de seguridad. Las principales regulaciones para reducir el riesgo de los procesos se gestaron principalmente después de tres accidentes:

1974- Flixborough1, Gran Bretaña. Explosión de una nube de vapor de ciclohexano de 50 Tn ventiladas a la atmósfera por la planta química NYPRO que provocó la muerte de 28 personas de la planta, 56 personas fuera de la planta, multitud de heridos, daños en más de 1800 casas y 167 locales comerciales en un radio de 12 km. El coste de los daños superó los 100 millones de dólares. Afortunadamente ocurrió fuera del horario normal de trabajo, por lo que las pérdidas humanas fueron menos de las esperadas.

1 http://en.wikipedia.org/wiki/Flixborough_disaster


11

1976- Seveso1, Italia. Pérdida a la atmósfera de una nube de TCP cloro y dioxina como consecuencia de la fisura de un disco de rotura producido por una reacción exotérmica incontrolada de 2-4-5-triclorofenol (TCP). Quedaron inservibles más de 4 km a la redonda de tierras cultivables y el número de heridos y muertos por el escape no fue informado, pero más de 470 personas fueron atendidas por intoxicación.

Estos dos accidentes dieron origen a una serie de normas y leyes en cuanto a la seguridad de procesos, por parte de los entes reguladores europeos.

Una fecha clave para el inicio de la reglamentación de los sistemas de seguridad en Estados Unidos la encontramos en diciembre de 1984, con la explosión y fuga de 24 toneladas de metilisocianato, mientras se realizaban tareas de mantenimiento en una planta química que Unión Carbide poseía en Bhopal (India), donde oficialmente se habló de 2500 muertos, más de 200000 personas con lesiones, un desastre ecológico incalculable y una herencia de problemas para las sucesivas generaciones. Desde esta fecha se empezó a crear normas reglamentarias.

Así en Estados Unidos y Europa (Alemania principalmente) empezaron a nacer diferentes organizaciones y normas que proporcionaban directrices para sus sistemas de parada de emergencia.

OHSA2 en Estados Unidos y paralelamente “Seveso Directive”3 en Europa, fueron las primeras normas de regulación que aparecieron, siendo la Directiva Seveso, creada el 24 de junio de 1982, la primera norma de obligado cumplimiento para los países miembros de la CEE. El 9 de diciembre de 1996 fue sustituida por la Directiva Seveso II, siendo de obligado cumplimiento a partir del 3 de febrero de 1999, finalmente en 2005 se propugnó el RD 119/2005 de 4 de febrero, conocido como SEVESO III. Según Seveso III un accidente grave es cualquier suceso, tal como emisión en forma de fuga o vertido, incendio o explosión importantes que suponga una situación de grave riesgo, inmediato o diferido, para personas, bienes y medio ambiente, bien sea en el interior o exterior de la instalación, y que estén implicadas una o más sustancias peligrosas. La directiva Seveso fue traspuesta al ordenamiento jurídico español mediante el R.D. 1254/1999, por el que se aprueban las medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas, este a su vez es modificado por el R.D. 948/2005.

La directriz básica para la elaboración y homologación de los planes especiales del sector químico está recogida en el R.D. 1196/2003, en ella se indica las bases y criterios para la correcta organización de las emergencias derivadas de accidentes, estableciendo los criterios mínimos de contenidos de los planes de emergencia interior (PEI) y exterior (PEE).

Una norma de referencia en todo el mundo aunque no de obligado cumplimiento en España al no estar recogida en la legislación española es la normativa de obligado cumplimiento en Estados Unidos y perteneciente a OHSA, 29 CFR 1910.119 “Process safety management of highly hazardous chemicals”.

1 http://es.wikipedia.org/wiki/Desastre_de_Seveso 2 OHSA: Occupational Safety and Health Administration, Administración de Seguridad y Salud

Ocupacional emitida por el Departamento de Trabajo de los Estados Unidos. 3 Seveso Directive I and II se trata de una recopilación de leyes editada por la Comisión Europea de

medio ambiente encaminadas a la prevención y control de accidentes químicos.


12

ISA -Instrumentation Systems and Automation Society- creó un estándar para la industria en 1996, la ANSI/ISA-S84.00.01-19961 ”Application of Safety Instrumented Systems for the process industries” que recopiló y unió todos “Process Management Safety” (PMS) de diferentes organizaciones y compañías para crear un único estándar. Paralelamente en Europa IEC -The International Electrotechnical Commission- creó un documento similar en 1998, la IEC 615082 que cubre numerosos tipos de industrias y bajo este estándar se creó la IEC 61511 que es un estándar específico para el sector de proceso. Este estándar fue aceptado por la ISA S84 que sustituyó a la anterior ANSI/ISA-84.00.01, con lo que actualmente la IEC 61511 y la ISA S84 es el mismo estándar, considerándose estándares globales.

Ambos estándares IEC 61511/61508 y ANSI/ISA S84 usan el concepto del ciclo de vida de seguridad como herramienta en la gestión de la aplicación de sistemas instrumentados de seguridad. Estos estándares requieren que se establezca un nivel SIL para cada lazo, por lo que requiere de la creación de un sistema de gestión que pueda asegurar la seguridad del proceso. Requiere de un análisis de riesgos para poder establecer los niveles SIL requeridos.

1 Actualmente se encuentra la actualización ANSI/ISA-S84.00.01-2004. 2 Actualmente se encuentra la actualización IEC 61511-2003 y la IEC 61508-2000.

Alcance Sistemas Instrumentados de Seguridad

13

2 Alcance

El proyecto sitúa una guía de referencia para la realización de un Sistema Instrumentado de Seguridad, desde la obtención de las especificaciones de requerimientos de seguridad, la realización de la ingeniería y del diseño, la instalación, y su operación y mantenimiento, de forma que pueda ser confiable para llevar y mantener el proceso en un estado seguro. Todo este trabajo ha sido desarrollado de acuerdo a los estándares vigentes IEC 61511 (Seguridad funcional: SIS para procesos industriales) y la ANSI/ISA S84.01-2004 (Aplicación de SIS para procesos industriales).

En particular se pretende dar un enfoque para el desarrollo de un sistema instrumentado de seguridad destacando la importancia que representa la seguridad en cualquier industria de proceso y en particular en la industria química.

La filosofía de las compañías está cambiando, se adoptan lemas como “la Seguridad es lo primero”, “sin seguridad no hay producción”, etc. y crean estándares internos de obligado cumplimiento referentes a seguridad, tanto generales como en particular de proceso.

Es muy importante que las empresas y todo personal integrado en el proceso de fabricación, producción, mantenimiento e ingeniería y en particular el personal encargado del control y automatización estén familiarizadas con los estándares de seguridad internacionales, conceptos y buenas prácticas que hacen que sus procesos sean seguros a la vez que confiables y disponibles.

En particular se tratarán los siguientes temas:

• Criterio de Ciclo de vida de seguridad. Definición de actividades que son necesarias para determinar requerimientos funcionales y de seguridad para toda la vida del sistema de seguridad.

• Como detallar los requerimientos y especificaciones para lograr un nivel de seguridad funcional objetivo y quien es el responsable de implementar estos requerimientos.

• Mostrar que tipo de instrumentos pueden ser integrados en un SIS.

• Relación entre las funciones instrumentadas de seguridad (SIF) y las funciones de control.

• Como asignar niveles de integridad de seguridad (SIL) a las diferentes funciones del proceso y como resolver que funciones son las que se convertirán en funciones instrumentadas de seguridad, después de haber reducido el riesgo aplicando otros sistemas de reducción de riesgo. Identificar los requerimientos funcionales y los requerimientos integrados de seguridad para estas funciones instrumentadas de seguridad.

• Especificación de requerimientos para la arquitectura del sistema y configuración del hardware, aplicación del software e integración del sistema.

• Implementación de una o más funciones de seguridad para la protección de personas, máquinas y medio ambiente en general cuando no se ha logrado la seguridad funcional del lazo.

Alcance Sistemas Instrumentados de Seguridad

14

• Aplicación del sistema a una aplicación de no-seguridad como recurso de protección.

• Como determinar, evaluar y analizar un riesgo y su tasa de riesgo. Definir el índice o tasa SIL (nivel de integridad de seguridad) de cada SIF (función instrumentada de seguridad). Diferentes métodos de análisis de riesgos.

• Como encontrar una tasa numérica para la probabilidad media de fallo en demanda (PFD) requerida en la IEC 61511 y la relación con el valor SIL de la función.

• Como especificar requerimientos de todas las unidades que conforman el sistema instrumentado de seguridad, desde el sensor hasta el elemento final, incluyendo el procesador lógico (PLC de seguridad) y las conexiones.

• Definir qué información y documentación es requerida para la aplicación de un SIS durante el ciclo de vida de seguridad.

• Como incluir los factores humanos en el diseño del SIS.

Normativas y Estándares Sistemas Instrumentados de Seguridad

15

3 Normativa y Estándares

En el pasado las normas de seguridad se desarrollaron para aplicaciones concretas, para tipos de industria o incluso para un país específico. Como ejemplo encontramos la ANSI P1.1-1969 es una norma de consenso en la industria emitida por el Instituto Nacional Americano de Estándares (ANSI) que define los requisitos de seguridad para las fábricas que producen papel, pulpa y cartón.

El principal problema de este enfoque no global es que en plantas, e incluso industrias completas, se produce el hecho que han de cumplir diferentes normas de seguridad que se solapan, y que a menudo han sido desarrolladas con filosofías de diseño y arquitectura completamente diferentes. A esto hay que sumar las diferencias entre normas nacionales y regionales. Por lo que es prácticamente imposible estar seguro de que se ha cumplido con las normativas vigentes, y se nos plantee la gran pregunta, ¿qué norma cubre y resuelve nuestra expectativa?

Ante esta complejidad normativa, las compañías usuarias de sistemas instrumentados de seguridad necesitan definir sus propias normas para facilitar el cumplimiento de los estándares de seguridad aplicables a sus instalaciones.

Es por lo que se crean asociaciones como IEC (Comisión Electrotécnica Internacional) que desarrollan normas y estándares para que las empresas usuarias se puedan proveer, dentro de un marco normalizado, de procedimientos y prácticas recomendadas. Así se crea, en el marco de la seguridad funcional de sistemas instrumentados de seguridad en la industria de proceso, la IEC 61511 y para la seguridad funcional de los equipos eléctricos/electrónicos dedicados a seguridad la IEC61508.

Una razón por lo que las industrias redactan sus propios estándares, guías y prácticas recomendadas que posteriormente se adoptan y discuten por expertos de los diferentes estándares internacionales para su inclusión, es evitar la creación de regulaciones gubernamentales. Si la industria es la responsable de los accidentes, y estos no se regulan es entonces cuando el gobierno puede intervenir para crear la regulación, con peso de ley. Es mejor que entidades internacionales expertas y asociaciones de industrias creen sus propias regulaciones y estándares dentro del marco legal vigente y que finalmente adquieran categoría de norma, que proceder a una intervención gubernamental.

Las normas de seguridad más recientes se han desarrollado usando el criterio de reducción de riesgo y en el establecimiento de un grado definido de excelencia operacional adoptando el concepto de ciclo de vida1 del proyecto de seguridad.

Para industrias de procesos las normas más relevantes son la IEC 61508, IEC 61511 y ANSI/ISA S84 (2004). Cada una de estas normas define qué se requiere para lograr el cumplimiento normativo, y en el caso de la IEC 61511 y ANSI/ISA S84, cómo lograr el cumplimiento por parte de los propietarios y operadores de planta.

1 El concepto ciclo de vida surge tras la publicación en 1995 por parte del Ejecutivo Británico de

Salud y Seguridad (Health and Safety Executive – HSE) de un artículo titulado Fuera de control (Out of control) donde se discute porqué fallan los sistema y cómo hay que prever los fallos. El artículo analiza las causas de varios accidentes industriales que se originaron en fallos de sistemas de control. El resultado de este estudio llevó al desarrollo del concepto “ciclo de vida” de la seguridad funcional y que es definido en diferentes estándares internacionales de seguridad como la ANSI/ISA S84.01, IEC 61508, IEC 61511.


16

Estas normas internacionales se están utilizando como directrices para demostrar que en el desarrollo de los sistemas instrumentados de seguridad se han aplicado las “mejores prácticas de ingeniería”.

Si bien estas normas y directrices no tienen fuerza de ley en la mayoría de los países1, sí que ha aumentado la dependencia de los sistemas SIS, obligando a realizar una metodología que asegure que se alcanza un nivel de riesgo tolerable objetivo, tanto en el proceso de fabricación de los sistemas y equipos participantes en sistemas instrumentados de seguridad, como en el diseño y desarrollo, comisionado y puesta en marcha y mantenimiento del propio sistema de seguridad. Para facilitar y garantizar que las compañías proveedoras y las propietarias del sistema han cumplido y se han adherido a estos estándares, existen organizaciones auditoras y certificadoras independientes, TÜV, FM, Exida y otras, que actúan como terceros y certifican que nuestro sistema cumple estrictamente con la norma.

3.1 IEC 61508, IEC 61511 La IEC 61508 (partes 1-7), titulada Functional Safety of Programmable Electronic

Safety-Related Systems (seguridad funcional de los sistemas electrónicos programables relacionados con la seguridad), es un estándar publicado por IEC “Internacional Electrotechnical Comisión”. Se trata de una norma de seguridad completa, global y funcional basada en rendimiento y que aplica a los fabricantes, proveedores e instaladores de sistemas de seguridad para todas las industrias. Define los requisitos de los equipos de control e instrumentación de proceso.

La IEC 61508 establece una base para el uso de dispositivos eléctricos y/o electrónicos programables en el diseño de sistemas instrumentados de seguridad en diferentes aplicaciones, medicina, transporte, etc. y entre ellas la industria de proceso. Establece el concepto de ciclo de vida para el desarrollo de un SIS desde su concepción hasta su desmontaje, y establece que personal debería estar involucrado en las diferentes fases del proyecto desde el concepto hasta la explotación.

En resumen la IEC 61508 orienta a los fabricantes y proveedores en el desarrollo y validación de hardware y software para sistemas de seguridad. Es recomendable que los usuarios y propietarios del sistema de seguridad busquen proveedores con productos certificados por agencias reconocidas, que certifiquen el cumplimiento de la IEC61508, p. ej. TÜV, FM o Exida.

La IEC 61508 fue usada por algunas plantas de la industria de procesos para implementar sistemas instrumentados de seguridad que cumplieran con los requisitos normativos. Sin embargo, no era una norma clara para adoptar en procesos industriales, por lo que después de una cuidadosa consideración, el comité de normas IEC extrajo las secciones relevantes de IEC 61508, y la volvió a redactar para formar la IEC 61511 específica para industrias de procesos.

Como resultado la IEC 61511 proporciona una guía a las industrias de procesos y ejemplos de cómo implementar e interpretar la norma, siempre bajo el marco establecido por la IEC 61508.

1 Las normativas y prácticas recomendadas pueden tener peso de ley pero sólo cuando son

incorporadas por referencia en la ley correspondiente o listada por la Directiva Europea.


17

Este enfoque hizo que la IEC 61511, Functional Safety: Safety Instrumented Systems for the Process Industry Sector (Seguridad funcional: Sistemas instrumentados de seguridad para el sector de las industrias de procesos), sea la norma de seguridad que la mayor parte de las industrias de procesos eligen como estándar para el desarrollo de sus guías internas propias y documentos internos para la implementación de sus Sistema Instrumentados de Seguridad. La IEC 61511 es un estándar publicado por la IEC “International Electrotechnical Comisión” donde se establece una base para el uso de dispositivos eléctricos y/o electrónicos programables en el diseño de Sistemas Instrumentados de Seguridad en la industria de proceso. Establece cuales son los pasos en el ciclo de vida de un SIS desde su concepción hasta su desmantelamiento, y está dirigida fundamentalmente al diseñador, ejecutor y usuario final de los sistemas de seguridad.

Por tanto la IEC 61511 aplica a los usuarios finales en la industria de procesos.

Está basada en dos conceptos fundamentales: el ciclo de vida de seguridad del SIS y el nivel integro de seguridad, SIL. Tiene 3 partes:

• Parte 1: Requisitos

• Parte 2: Directrices de aplicación de IEC 61511-parte 1

• Parte 3: Selección del SIL

Figura 3.1.1 Objetivo de las normas IEC 61508 y IEC61511

La IEC 61511 es una norma que incluye y se basa en el concepto ciclo de vida, esto facilita el uso de otras normas o prácticas basadas en el ciclo de vida. Este modelo de ciclo de vida de seguridad funcional es usado y recomendado por agencias reguladoras y otros organismos como:

• La agencia ISO “Organización Internacional de Normas” para la calidad del producto y servicio.

• HSE “Oficina Ejecutiva de Salud y Seguridad del Reino Unido” para actividades relacionadas con la seguridad.


18

• SEI “Instituto de Ingeniería de Software” para el diseño de software de alta disponibilidad.

• OSHA “Administración de Seguridad y Salud Laboral de los EEUU” (29 CFR 1910.119- Process Safety Management of Highly Hazardous Chemicals) para la seguridad de los trabajadores.

• Etc.

IEC 61511 permite personalizar el modelo de ciclo de vida para ajustarse a sus prácticas habituales, siempre y cuando se cumpla con los requisitos normativos.

El enfoque de la IEC 61511 usa 5 etapas principales de ciclo de vida para atender estos requisitos, además de un proceso de verificación y documentación a lo largo de todo el ciclo de vida:

Etapa de ciclo de vida Requisitos de IEC 61511

1. Ingeniería básica del proyecto y diseño conceptual

• Evaluación de peligro y riesgo (Cláusula 8) • Asignación de funciones de seguridad a capas

de protección (Cláusula 9) • Especificación de requisitos de seguridad para

sistemas instrumentados de seguridad (Cláusulas 10 y 11)

2. Diseño e ingeniería de detalle • Diseño e ingeniería del sistema instrumentado de seguridad (Cláusulas 11 y 12.4)

• Construcción del sistema instrumentado de seguridad, integración y pruebas FAT (Cláusula 13)

3. Instalación y puesta en marcha • Instalación y comisionamiento del sistema instrumentado de seguridad (Cláusula 14)

• Validación de seguridad del sistema instrumentado de seguridad (Cláusulas 12.3, 12.7 y 15)

4. Provisión de seguridad funcional • Operación y mantenimiento del sistema instrumentado de seguridad (Cláusula 16)

5. Modificación y actualización • Modificación del sistema instrumentado de seguridad (Cláusula 17)

- Verificación y documentación • Verificación (Cláusulas 7, 12.4, 12.7) • Documentación (Cláusula 19)


19

Todas estas actividades permiten cumplir con el requisito central de la norma IEC 61511:

Gestión de seguridad funcional • Gestión de seguridad funcional y evaluación y auditoria de la seguridad funcional (Cláusula 5)

• Estructura y plan del ciclo de vida de seguridad (Cláusula 6.2)

Dependiendo de dónde esté ubicado el SIS, es posible que la conformidad con IEC 61511 o con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir la norma tiene sentido. El resultado de la IEC 61511 es un riguroso conjunto de prácticas recomendadas para diseñar, implementar, verificar, operar y mantener sistemas instrumentados de seguridad robustos y fiables. Es una buena muestra de ayudar a garantizar la seguridad de la planta y por tanto del entorno social, a la vez que puede minimizar costos de operación.

El hecho de haber cumplido con la norma, incluso si no es de obligado cumplimiento, puede ser útil en caso de ocurrir algún incidente de seguridad. Las investigaciones posteriores a un accidente o vertido de producto al medio ambiente involucran a agencias gubernamentales que tienen autoridad para abrir una vía de investigación e imponer sanciones si es preciso, incluso sanciones penales y clausura de actividades. Entre las preguntas que pueden hacer están:

• ¿Ha ocurrido alguna clase de incidente o accidente en esta compañía anteriormente?

• ¿Qué procesos proactivos se utilizaron para identificar los riesgos?

• ¿Qué métodos se usaron para cuantificar los riesgos?

• ¿Qué acciones se usaron para mitigar los riesgos?

• ¿Qué proceso se siguió para garantizar que se desplegara la mitigación adecuadamente?

• ¿Qué procesos están implementados para garantizar que la solución de mitigación continúe funcionando como se espera?

• Etc.

Las respuestas a estas clases de preguntas son exactamente lo que nos da la aplicación de la norma IEC 61511. El haber cumplido y seguido la norma IEC 61511 durante todo el ciclo de vida facilitará mucho las investigaciones sobre un hipotético accidente o incidente y dará un punto de vista objetivo de cómo se realizaba la seguridad del proceso.

Es muy importante que todas las tareas realizadas durante el ciclo de vida de un sistema de seguridad estén adecuadamente documentadas. La Cláusula 19 recopila los requisitos de información que exige la norma IEC61511 con el fin de asegurar de que se dispone de la documentación necesaria de forma que se puedan realizar las evaluaciones y validaciones que se requieran.


20

3.2 ANSI/ISA-S84.01-1996 ANSI/ISA-S84.01-1996 “Application of Safety Instrumented Systems for the process

industries”.

Es una norma que ha sido reemplazada por IEC 61508 y IEC 61511 en el 2004 cuando se denominó ANSI/ISA-S84.00.01-2004 (IEC 61511Mod), son normas equivalentes y ambas con tres partes. Se trata de una norma creada en Estados Unidos en 1996 y que recientemente ha sido armonizada con la IEC 61511, con la excepción que las instalaciones que actualmente usan la versión de 1996 de S84 continúen haciéndolo siempre y cuando se determine que el equipo de seguridad se diseñe, se mantenga, se inspeccione, se pruebe y se opere de una manera segura.

Es una norma de la ANSI “American Nacional Standards Institute” en la que se establece una base para el diseño de Sistemas Instrumentados de Seguridad en la industria de proceso, incluyendo tecnología eléctrica, electrónica, y electrónica programable. Asimismo establece cuales son los pasos en el ciclo de vida de un SIS desde su concepción hasta su desmontaje. Está dirigida fundamentalmente al personal que participa en el desarrollo y fabricación de los SIS, en la instalación, en el comisionado y en todas las fases del ciclo de vida de un sistema de seguridad.

Como se ha comentado en la introducción, hace años y después de un elevado número de accidentes en las industrias, sobre todo del sector químico, los expertos en seguridad comenzaron una profunda revisión de las normas de seguridad existentes, llegando a la conclusión de que estas eran específicas en la industria y no podían relacionarse entre ellas.

A partir de estos razonamientos se formó el comité ISA SP84. Seguidamente se optó por usar el modelo Ciclo de Vida basado en rendimiento y como resultado apareció la ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems for the Process Industries (Aplicación de sistemas instrumentados de seguridad para las industrias de procesos).

Figura 3.2.1 Normativas IEC y relación con ISA

IEC61508


21

Figura 3.2.2 Evolución de la normativa

ACLARACIÓN: Las normativas y prácticas recomendadas pueden tener peso de ley pero sólo cuando son incorporadas por referencia en la ley correspondiente o listada por una Directiva Europea. Así existe una jerarquía de las guías para la seguridad en procesos industriales tal que:

• Legislación: Leyes dictadas por las autoridades correspondientes, con carácter local, estatal o nacional.

• Regulación: Reglas, las cuales tienen peso de ley, a través de la delegación de autoridad. P.ej. OHSA, Seveso Directive.

• Normativa: Consenso de un grupo de industrias acerca del mínimo nivel de ingeniería aceptable. P.ej. IEC 61511

• Práctica Recomendada: recomendaciones de un grupo de industrias. P.ej. Buenas prácticas de una compañía química.

Existen muchas otras normas y estándares aplicables a sistemas de seguridad, dependiendo del tipo de industria a que aplique así:

NFPA 85: “Boiler and Combustion Systems Hazard Code” 2004. NFPA “National Fire Protection Assocoation” es una asociación internacional fundada en 1896 que tiene como objetivo elaborar normativas, estándares y guías de consenso para la reducción del riesgo de incendios. La norma que más nos afecta en procesos industriales es la NFPA 85 relativa a procurar seguridad en sistemas de combustión y tiene como objetivo la seguridad de operación y prevención de incendios y explosiones en sistema de combustión, calderas con múltiples quemadores. NFPA 85 aplicaría a sistemas BMS “Burner Management Systems”.Existe un gran debate entre las diferencias de un SIS y un BMS, puesto que ambos son sistemas de protección muy similares con la diferencia que un BMS no trabaja con niveles de integridad de la seguridad (SIL).

API RP 14C: “Recommended Practice for Design, Installation, and Testing of Basic Surface Safety Systems for Offshore Production Platforms”. Publicada por el API


22

“American Petroleum Institute” en 2001. Dirigida a ingenieros de diseño y a personal de operación. Se trata de una serie de prácticas recomendadas para el análisis, diseño, instalación y pruebas de los sistemas básicos de seguridad en plataformas de producción costa afuera.

AIChe-CCPS: “Guidelines for Safe Automation of Chemical Process” 1993. El Instituto Americano de Ingenieros Químicos (AIChe) formó el Centro para la Seguridad de Procesos Químicos (CCPS) después del accidente ocurrido en Bhopal, India. Cubre el diseño de los Sistemas de Control Distribuidos (DCS) y Sistemas de Interlock de Seguridad. Contiene información muy valiosa obtenida por los usuarios de los sistemas a lo largo del tiempo.

Bibliografía y referencias [1] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.

www.emersonprocess.com.

[2] Curso: Análisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril 2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y Victoriano Macías (INERCO).

[3] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3, IEC (International Electrotechnical Comission). 2003

[4] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie. 2nd Edition. ISA 2006.

[5] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998

.

http://www2.emersonprocess.com/en-US/plantweb/University/Courses/Engineering/Pages/Engineering.aspx#sis

http://www.emersonprocess.com/

Abreviaciones Sistemas Instrumentados de Seguridad

23

4 Abreviaciones

ALARP As Low as Reasonable Practicable

ANSI American National Standards Institute

BMS Burner Management System

BPCS Basic Process Control System (ej. PCS, DCS)

CEM Cause Effect Matrix

CCRC Competence Center for Responsability Care

CFSE Certified Functional Safety Expert

DC Diagnostic Coverage

E/E/PES Electrical/Electronic/Programmable Electronic System

EMC Electromagnetic Compatibility

ESD Emergency ShutDown System

FAT Factory Acceptance Testing

FM Factory Mutual

FMEDA Failure Modes, Effects and Diagnostic Analysis

FMS Management of Functional safety

FTA Fault Tree Analysis

F&GS Fire&Gas System

HAZOP HAZard and Operability Studies

HMI Human Machine Interface

IEC Internacional Electrothecnical Comisión

ISA Instrumentation, Systems and Automation Society

LOPA Layer of Protection Analysis

MooN “M” out of “N”

MTBF Mean Time Between Failures

MTTF Mean Time To Fail

PFD Probability of Failure on Demand

PFDavg Average Probability of Failure on Demand

PFS Probability of Failure Spurious

PHA Process Hazard Analysis

P&ID Process & Instrumentation Diagram

PSM Process Safety Management

PST Partial Stroke Test

RRF Risk Reduction Factor. Inverso de PFDavg

Abreviaciones Sistemas Instrumentados de Seguridad

24

SCL Safety Life Cicle

SFF Safe Failure Fraction

SHE Safety, Health and Environment

SIF Safety Instrumented Function

SIL Safety Integrity Level

SIS Safety Instrumented System

SRS Safety Requirement Specification

STR Spurious Trip Rate

TI Test Interval

TMR Triple Modular Redundant

TÜV TechnischerÜberwachungs-Verein

Conceptos y Definiciones Sistemas Instrumentados de Seguridad

25

5 Conceptos y Definiciones

5.1 ¿Qué es el Riesgo? Una planta, un proceso químico obviamente conlleva un riesgo, que ha de ser

minimizado y controlado. El objetivo de cualquier compañía es conseguir el riesgo cero, aunque es importante reconocer que el riesgo cero no existe.

Como definición el riesgo es una medida resultado de la combinación de la probabilidad de que se produzca un evento peligroso y de la consecuencia de dicho evento.

El riesgo puede ser evaluado cuantitativamente o cualitativamente.

uenciaConFrecuenciaRiesgo sec×=

nº muertes/año año-1 nº de muertes

€ perdidos/mes mes-1 pérdidas económicas (€)

kg fuga/hora hora-1 kg sustancia fugada

etc.

Aunque en las normas de seguridad como la IEC 61511, el riesgo se centra en riesgo personal y riesgo para el medio ambiente, la mayoría de compañías extienden las categorías y factores de riesgo e incluyen:

• Seguridad y salud públicas.

• Interrupciones de producción y problemas de calidad.

• Costos de responsabilidad civil.

• Daños a equipos y costos de reparación.

• Pérdida de imagen de la empresa.

El riesgo puede ser expresado de múltiples formas. Dependerá de 2 factores:

• Quien o que está expuesto al riesgo: empleados, sociedad pública, medio ambiente, equipos y máquinas, etc.

• Cuál es la consecuencia del riesgo: Fatalidad, daños, daños temporales o permanentes al medio ambiente, pérdidas financieras, etc.

5.1.1 Riesgo Inherente La mayoría de las instalaciones industriales de procesos tienen bastantes

componentes y manejan una cierta cantidad de materiales y sustancias de proceso bajo unas condiciones dadas de temperatura, presión, etc. Algunas de estas sustancias pueden ser peligrosas. El proceso completo tiene asociado un riesgo y es el que se conoce como riesgo inherente.


26

Por definición el riesgo inherente es el riesgo que existe debido a la naturaleza del proceso, incluyendo el equipo y sustancias presentes.

Así la evaluación del proceso ayudará a determinar la probabilidad de que ocurra un evento de riesgo, y la evaluación de las sustancias (tipo y cantidad) ayudará a determinar las consecuencias del riesgo.

Por ejemplo en un tanque de amoniaco presurizado podemos ver diferentes riesgos inherentes que pueden llevar a una fuga de amoniaco como la rotura del tanque por un exceso de presión, fugas en uniones de tubería, fugas en las empaquetaduras de válvulas, fallos del sistema de control en mantener la presión del tanque. Cada uno de estos riesgos tiene una probabilidad y las consecuencias dependen de los peligros de exposición del personal al amoniaco.

5.1.2 Riesgo Tolerable Todos sabemos que hay un punto donde el riesgo se vuelve “intolerablemente alto”.

Asimismo hay un punto dónde el riesgo se vuelve bastante pequeño y pasa a ser aceptable, el riesgo cero no existe. Entre estos dos puntos está el área del riesgo tolerable.

En una planta de procesos existen múltiples y simultáneos riesgos. El propósito de un plan de seguridad, incluido el SIS, es garantizar que el riesgo en todo momento sea tolerable. El riesgo tolerable lo marca el propietario/operador de la planta en cada momento, es una decisión corporativa. Cada uno marca su riesgo tolerable en la vida –por ejemplo detenerse o avanzar por un semáforo que se acaba de poner en amarillo-, por lo que requiere tanto rigor como flexibilidad. Lo que para uno es un riesgo aceptable, para el otro ya es inaceptable.

La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en un determinado contexto de acuerdo con los valores actuales de la sociedad, como vemos es una definición muy abierta.

La mayoría de las compañías incluyen las lesiones, las muertes y el dinero perdido entre otros factores a considerar. Una buena práctica es comparar incidentes, accidentes e investigaciones con plantas similares y riesgos similares para poder identificar y establecer el límite del riesgo tolerable. También existen fuentes tales como la Administración de Seguridad y Salud Laboral (OSHA) de los Estados Unidos y otras agencias similares en otros países.

Es importante, para definir el riesgo tolerable, considerar todas las fuentes relevantes de daños. Podemos encontrar múltiples referencias sobre puntos de riesgo tolerable. Por ejemplo podemos mostrar una referencia del marco para la tolerancia de la HSE (Health and Safety Executive de UK) donde clasifica el riesgo individual para fatalidades como:

• 1 fatalidad por 1000 años de exposición para trabajadores (límite superior de riesgo tolerable).

• 1 fatalidad por 10000 años de exposición para el público.

• 1 fatalidad por 100000 años será considerado riesgo insignificante (límite inferior de riesgo tolerable).

Siempre es mejor acercarse al límite inferior donde el riesgo es insignificante.

Ahora bien, las compañías pueden marcar otros niveles de riesgo tolerable, por ejemplo determinar que los riesgos potenciales deben tener menos de:


27

• 0.0005 accidentes fatales por persona por año.

• 0.005 personas heridas por año.

• 0.01 emisiones ambientales por planta por año.

• 500000 € en pérdidas económicas por planta y año.

O bien podemos encontrar formas matriciales con enunciados guía como: todos los riesgos extremos deben ser reducidos y todos los moderados deben ser reducidos cuando sea factible.

Figura 5.1.1.1 Forma matricial valoración del riesgo

¿Cuál de los diferentes enunciados que podemos encontrar es mejor o peor? Cada compañía marcará su riesgo tolerable aceptable y dependerá de que guías utilice,

normalmente se adaptará al principio ALARP ("As Low As Reasonably Practicable"), reducir el riesgo hasta donde sea razonablemente posible.

Asimismo si seguimos estándares y volviendo al caso del tanque de amoniaco, podemos usar niveles de exposición humana al amoniaco aceptables localmente. Para los trabajadores en campo la OSHA1 dice que la máxima exposición es una concentración de 50 ppm en un periodo de 8 horas. Pero si está en una zona habitada la exposición máxima permitida para el público por la ACGIH2 americana es de 25 ppm. Por lo que en ambos casos el riesgo tolerable es diferente, aunque el evento peligroso sea el mismo la consecuencia es diferente.

5.1.3 Riesgo Individual. Principio ALARP Riesgo individual es la frecuencia a la cual se puede esperar que un individuo reciba

un nivel sostenido de daño, derivado de la existencia de peligros determinados. El marco para la tolerancia del riesgo de la HSE3 Británica (Health and Safety Executive’s) clasifica el riesgo individual para fatalidades, como la probabilidad de fatalidad por año:

De minimus (límite inferior de riesgo tolerable) 1 x 10-5 por año.

De manifetsus (límite superior de riesgo tolerable) 1 x 10-3 por año

El principio ALARP (Tan bajo como sea razonablemente factible) normalmente se sitúa entre estos dos límites (figura 5.1.3.1). El principio ALARP comprende tres regiones que van asociadas a una clase de riesgo:

1 OSHA, Occupational Safety and Health Administration, agencia creada por el departamento de

trabajo de EEUU. 2 ACGIH, American Conference of Governmental Industrial Hygienists. Desarrolla, recomienda y

publica los límites máximos de exposición a productos químicos peligrosos. 3 HSE, Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades relacionadas con la

seguridad.


28

• Riesgo Clase I: situada en la región intolerable. En esta zona el riesgo no puede ser justificado.

• Riesgo Clase II: se sitúa en la región ALARP. En esta zona los riesgos pasan a ser tolerables solo si la reducción de riesgo es impracticable o supone un esfuerzo económico desproporcionado para la reducción de riesgo que se conseguirá con la mejora.

• Riesgo Clase III: se sitúa en la región ampliamente aceptable. En esta zona el nivel de riesgo es residual y no se requieren adoptar medidas para reducir el riesgo.

Como vemos para aplicar el principio ALARP es imprescindible definir 3 regiones de riesgo relacionadas con la probabilidad y consecuencia de un incidente. La definición de las regiones es discutida y acordada normalmente por las autoridades reguladoras de seguridad, por la compañía que produce el riesgo y por la parte expuesta al riesgo, aunque sigue siendo una decisión corporativa.

Figura 5.1.3.1 Modelo ALARP, As Low As Reasonably Practical.

Las siguiente tabla (tabla 5.1.3.1 Ejemplo clasificación de riesgo de incidentes) extraída de la norma IEC 61511-3 Anexo A muestra como a través de las clases de riesgo puede hacerse una relación de la consecuencia con una probabilidad de ocurrencia. Cada situación específica, cada industria particular debe desarrollar una tabla similar teniendo en cuenta los factores sociales, políticos y económicos, entre otros, dependiendo de dónde esté ubicada. La tabla 5.1.3.2 interpreta la clase de riesgo según el principio de ALARP.

Tabla 5.1.3.1 Ejemplo de clasificación de riesgo de incidentes


29

Tabla 5.1.3.2 Interpretación de clase de riesgos

5.1.4 Riesgo geográfico Es la medida de la probabilidad de que un evento ocurra en una ubicación geográfica

específica. Cuando se diseña una planta de proceso se ha de tener en cuenta donde se ubican los pasos de personas, la sala de control, áreas de trabajo, salas intermedias, etc. para reducir el riesgo en caso de accidente.

Tabla 5.1.3.3 Contorno típico de riesgo geográfico

5.1.5 Riesgo en la sociedad Es la relación entre la frecuencia de un cierto nivel de daño y el número de gente que

se vería afectada en una población dada. No se suele utilizar en los análisis de riesgos para la determinación del nivel integro de seguridad (SIL) pero sí que es un índice normalmente usado por entidades gubernamentales en aplicaciones de desastres a gran escala y para la elaboración de planes de emergencia exteriores en zonas habitadas.

5.1.6 Factor de Reducción de Riesgo (RRF) Es el factor por el que el sistema instrumentado de seguridad de la planta bajará el

riesgo del proceso (tras la aplicación de medidas de seguridad complementarias según las diferentes capas de protección), a un riesgo tolerable comparándolo a no tener un sistema de seguridad:

RRF = 1 / PFDavg (1)

¿Por qué reducir el riesgo? Las compañías tienen la obligación legal, moral y financiera de limitar el riesgo que implica sus operaciones.

Deben hacer balance entre sus responsabilidades legales y morales manteniendo siempre una buena salud financiera. El adoptar y mantener un programa de gestión del riesgo facilitará obtener un criterio de selección de su riesgo tolerable manteniendo la tres responsabilidades: legal, moral y financiera.


30

Moral: hacer la planta tan segura como sea posible sin importar los costos.

Legal: Cumplir con las regulaciones escritas, sin importar los costos y el nivel real de riesgos.

Financiera: construir la planta más económica posible y mantener el presupuesto de operación lo más pequeño posible.

Se ha de buscar el punto donde los tres apartados encajen, por lo que el riesgo al igual que el beneficio debe ser medido para determinar de manera más inteligente la mejor opción a seguir ante cualquier situación.

Figura 5.1.6.1 Secuencia para la reducción de riesgo

Bibliografía y referencias [1] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.

www.emersonprocess.com.

[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor: Oswaldo E. Moreno, CFSE.

[3] Process Safety Progress, American Institute of Chemical Engineers, 1999 AIChE.

[4] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.


[6] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3, IEC (International Electrotechnical Comission). 2003.




31

5.2 Índice SIL. Nivel Íntegro de Seguridad Para saber qué nivel de confianza debe presentar una función de seguridad cuando el

proceso demande su intervención se determina a través del índice SIL.

Safety Integrity Level (SIL) es un nivel discreto, de 1 a 4, que nos indica que reducción de riesgo hemos de aplicar a la función de seguridad para alcanzar un riesgo tolerable. El propósito de seleccionar un SIL objetivo es especificar la reducción de riesgo requerida, es decir, la diferencia entre los niveles de riesgo existente y el riesgo tolerable.

Cada nivel discreto se refiere a cierta probabilidad de que un sistema de seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones establecidas en un período de tiempo determinado.

Está basado en la probabilidad de fallo en demanda (PFD) para cada particular función instrumentada de seguridad (SIF). La norma ANSI/ISA-SP84 define 3 niveles discretos. La IEC 61508 y IEC 61511 define 4 niveles discretos. La siguiente tabla muestra la relación de los rangos de la PFD asociado a un factor de reducción de riesgo (RRF) que corresponden a cada nivel SIL.

Clasificación de la reducción de riesgo. Índice SIL

Índice SIL ISA IEC

PFDavg RRF

- 4 10-4 -> 10-5 10000 -> 100000

3 3 10-3 -> 10-4 1000 -> 10000

2 2 10-2 -> 10-3 100 -> 1000

1 1 10-1 -> 10-2 10 -> 100

El índice SIL es el parámetro clave de diseño que evalúa la cantidad de reducción de riesgo que un equipo de seguridad requiere y que una función de seguridad debe lograr. Toda función de seguridad requiere que le sea asignado un valor de SIL. El SIL especifica como de bien los equipos realizan la función de seguridad (SIF).

Si comparamos el diseño de un equipo de seguridad bajo la especificación de SIL con el diseño tradicional de un sistema de control, especificar la acción de una función instrumentada de seguridad no especificando su SIL sabremos qué acción tomará, pero no sabremos qué probabilidad tiene de que su funcionamiento sea correcto cuando se demande, con lo que deja de ser óptima. Seleccionando un SIL, damos un valor numérico (target/objetivo) a la efectividad de la función de seguridad y que tiene relación a la cantidad de riesgo que hemos de reducir. Es uno de los pasos comprendidos en el ciclo de vida de seguridad. El SIL es un documento junto con otros requerimientos y lógica operacional del SIS que son requeridos en las especificaciones de seguridad.

La determinación de un SIL de una función debe ser definida en base a un análisis previo de riesgos cuantitativo o cualitativo. Es muy importante hacer un riguroso análisis de riesgos ya que el nivel de integridad de seguridad está en función de la confiabilidad y exactitud de dicho análisis.


32

5.3 SIF. Función Instrumentada de Seguridad Usando la terminología de IEC 61511, una función instrumentada de seguridad

(Safety Instrumented Function) es una función a ser implementada por un sistema instrumentado de seguridad y que tiene por finalidad el lograr o mantener el proceso en un estado seguro frente a un evento peligroso específico. Se trata de un conjunto sencillo de acciones específicas y sus equipos correspondientes, necesario para identificar un peligro y actuar para llevar al proceso a un estado seguro. Un sistema instrumentado de seguridad (SIS), por otro lado, es un conjunto de sensores, lógica de control y actuadores que ejecutan una o más funciones instrumentadas de seguridad (SIF) que actúan de diferentes formas para prevenir múltiples resultados peligrosos. Figura 5.3.1

Un SIS puede tener múltiples SIF, cada una con un SIL diferente, por lo que resulta incorrecto y ambiguo definir un único SIL para todo un SIS [1].

Figura 5.3.1 Ejemplo SIF’s de un SIS

Función de Seguridad Condiciones de proceso Lo que se tiene que hacer SIL

SIF nº 1 Presión alta Salida accionamiento 1 1

SIF nº 2 Presión alta-alta Salida accionamiento 1 + 2 3

Por tanto el PFD de todo el lazo estará formado por el PFD de todos sus componentes de la SIF, así podremos determinar el SIL de cada función instrumentada de seguridad, es decir la siguiente SIF nº1 (figura 5.3.2):

Figura 5.3.2 ejemplo SIF nº 1

LAZOELEMENTOSOTROSSEGURIDADPLCPTFVSIF PFDPFDPFDPFDPFD ___1011011 +++= −− (2)

IMPORTANTE: El índice SIL se especifica y aplica a una única función instrumentada de seguridad SIF, no a todo el Sistema instrumentado de seguridad. Puede


33

que un mismo componente pertenezca a diferentes SIF’s, entonces se le aplicará el SIL más restrictivo.

• ¿Dónde comúnmente se implementan los sistemas instrumentados de seguridad y por tanto funciones instrumentadas de seguridad? (figura 5.3.3)

Figura 5.3.3 Aplicaciones de SIS por tipo de industria y por tipo de equipo.

• Implementación Función Instrumentada de Seguridad La implementación de una función instrumentada de seguridad sencilla puede incluir

múltiples elementos, sensores, módulos acondicionadores de señal, programadores lógicos, elementos finales de control y servicios utilitarios dedicados tales como alimentación eléctrica y/o aire de instrumentación.

Al igual que un sistema de control, un sistema de seguridad tiene sensores. En las industrias de procesos los sensores miden los parámetros del proceso, como presión, temperatura, flujo, nivel, concentraciones de gases, etc. Un sistema de seguridad también cuenta con un procesador lógico que lee las señales de entrada y ejecuta acciones mediante un elemento final que actúa para llevar el proceso a un estado seguro, normalmente se trata de una válvula o un motor. (Figura 5.3.4)

Figura 5.3.4 Arquitectura Sistema Instrumentado de Seguridad

Bibliografía y referencias [1] Seminario: Descripción general de la Seguridad. EMERSON Process Management, Tarragona, Junio

2006.

5.4 Auditoria de seguridad funcional (Functional safety audit) Examen sistemático e independiente para determinar si los procedimientos propios

de los requisitos de seguridad funcional que obedecen a unas medidas planificados, son


34

implementados de forma eficaz y son apropiados para conseguir los objetivos especificados. Pueden ser internas, de la propia organización y externas, por una organización independiente tercera con poder de certificación tipo TÜV, agencia independiente aceptada internacionalmente.

5.5 Árbol de fallos. Representación gráfica lógica y organizada de las condiciones o factores que causan

o contribuyen a que ocurra un evento no deseado definido.

5.6 Avería (Failure). Interrupción de la capacidad de una unidad funcional para realizar una función

requerida.

5.7 BPCS. Sistema Básico de Control de Proceso. Sistema que responde a las señales de entrada de un proceso, a sus equipos

asociados, a otros sistemas programables y/o operadores de planta generando salidas que se ajustan continuamente con el fin de controlar el proceso y operar la planta de la forma deseada, pero que no realiza ninguna función instrumentada de seguridad. Actualmente el sistema más común es el DCS, sistema de control distribuido.

5.8 Capas de protección. Sistemas de protección independientes que generalmente involucran diseños

especiales, equipos de proceso, sistema básico de control de proceso, sistema instrumentado de seguridad, procedimientos administrativos como planes de emergencia, y/o respuestas planificadas para la protección contra un riesgo inminente.

Las normas de seguridad definen una capa de protección como cualquier mecanismo independiente que reduce el riesgo mediante control, la prevención o la mitigación. La suma de las capas de protección es lo que se conoce como seguridad funcional. Estas respuestas pueden ser iniciadas automáticamente o por acciones humanas. (Ver Figura 1.1 Capas de protección, Capítulo 1L)

5.9 Ciclo de vida de seguridad (CVS). Safety LifeCicle (SLC) Secuencia de actividades involucradas en la implantación de sistemas instrumentados

de seguridad desde el diseño y el análisis de riesgos del proceso, que indicará la necesidad de implantación de un SIS, hasta el desmantelamiento del sistema instrumentado de seguridad. También se puede encontrar con el acrónimo CVSF, Ciclo de Vida de Seguridad Funcional.

5.10 Comisionamiento Verificación y confirmación de que el SIS ha sido instalado y cumple con las

características especificadas en la documentación del diseño detallado y se encuentra listo para las pruebas de pre-arranque. Son las pruebas de aceptación en sitio (SAT).


35

5.11 Comunicación externa Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos que se

encuentran fuera del SIS, tales como interfaces del operador, interfaces de ingeniería/mantenimiento, sistema de adquisición de datos, etc.

5.12 Comunicación interna Intercambio de datos entre diferentes dispositivos dentro de un sistema programable

electrónico (PES) dado. Esto incluye conexiones vía bus, I/O del bus local o remotas, etc.

5.13 Confiabilidad (Reliability) Confiabilidad (R) es la probabilidad de que un sistema pueda desempeñar una

función definida bajo condiciones especificadas para un periodo de tiempo dado.

R(t) = P(T>t); donde T es el tiempo de fallo para el intervalo 0 -> t

R(t) = e-λt (2)

Donde λ es la tasa de fallos y se considera constante dentro de la zona de vida útil del equipo en la curva de la bañera (ver definición de 5.64 tasa de fallo).

Una aproximación válida en seguridad es: R(t) = 1-λt

5.14 Daño Lesión física o perjuicio a la salud de la población directa o indirectamente como

resultado de daño a la propiedad o al medio ambiente.

5.15 Peligro (Hazard) Fuente potencial de crear daño. Incluye el daño producido directamente a las

personas, como en una explosión, un fuego, etc., así como el efecto producido a largo plazo en la salud de las personas, por ejemplo por el contacto con sustancias tóxicas.

5.16 Demanda Una condición o evento que requiere que el SIS lleve a cabo una acción apropiada

para prevenir un evento peligroso, o para mitigar sus consecuencias.

5.17 Desenergizado/Energizado para disparo. Desenergizado: Circuitos SIS en donde las salidas y dispositivos se encuentran

energizados en operación normal. Cuando se suspende el suministro de energía se produce una acción de disparo, y por tanto la activación de la función de seguridad.

Energizado: Circuitos SIS donde las salidas y dispositivos se encuentran desenergizados en operación normal. Cuando se les aplica energía se les produce una acción de disparo, y por tanto la activación de la función de seguridad.

5.18 Desmantelamiento O descomisionado. Es la anulación por completo de un SIS de su servicio activo, y

una de las partes del ciclo de vida de seguridad.


36

5.19 Cobertura de diagnóstico (DC) Diagnostic coverage. El DC de un componente o un subsistema es el ratio de la tasa

de fallo detectada por diagnósticos realizados de la tasa total de fallo de un componente o subsistema. DC no incluye fallo detectados por tests de pruebas.

El DC se usa para calcular los fallos detectables por diagnósticos (λd) y los no detectables (λu) del índice total de fallos (λt) como sigue:

λd = DC * λt λu = (1 – DC)* λt (3) El DC se aplica a los componentes o subsistemas de un sistema instrumentado de

seguridad. En un sensor, elemento final y procesador lógico es típico utilizar el DC.

En aplicaciones de seguridad es típicamente utilizado para diferenciar la tasa de fallos seguros y peligrosos de un componente o subsistema. Así el DC para un fallo peligroso es:

DC = λdd / λdt (4)

Donde λdd es el índice de fallo peligroso detectado i λdt es el índice total de fallo peligroso.

5.20 Disparos en falso Activación de cualquier función instrumentada de seguridad (SIF) perteneciente al

SIS, sin existir una demanda real en la planta. (Spurious trip).

5.21 Disponibilidad de seguridad Fracción de tiempo en que un Sistema de seguridad es capaz de desempeñar un

servicio de seguridad designado cuando el proceso está en operación. Un SIS o una SIF correspondiente no se encuentra disponible si está en un estado de fallo o está fuera de servicio para mantenimiento.

5.22 Dispositivos Unidad funcional de hardware, software, o ambas, capaz de cumplir un objetivo

específico. Por ejemplo dispositivos de campo; equipos conectados en los terminales input/output de campo de un SIS. Estos incluyen cableado, sensores, elementos finales de control, sistemas programables (PLC’s), y cualquier dispositivo interface operador cableado a un SIS.

5.23 Diversidad Uso de dispositivos y equipos con diferentes tecnologías y métodos de diseño que

desempeñan una función de seguridad común, de manera que minimizan las fallos de causa común.

5.24 Elemento final de control Es la parte del SIS que realiza la acción física necesaria para alcanzar un estado

seguro (p.ej. válvulas, conmutadores, motores, electroválvulas, actuadores, etc.) todos elementos incluidos en la función instrumentada de seguridad.


37

5.25 Estado seguro Estado en que debe quedar un sistema, equipo o planta bajo control después de una

operación o actuación de un SIS.

5.26 Error Discrepancia entre el valor observado, medido o procesado y el valor verdadero,

especificado o teóricamente correcto.

5.27 Error humano Acción o no-acción del hombre que produce un error no intencionado.

5.28 Especificaciones de los requisitos de seguridad (SRS). (Safety Requirement Specifications)

La norma específica todos los requisitos que han de cumplir las funciones instrumentadas de seguridad que han de ser implementadas por el sistema instrumentado de seguridad.

5.29 Factor de Reducción de Riesgo (RRF). (Risk reduction Factor) El factor por el que el sistema de seguridad baja el riesgo de la planta en

comparación a no tener un sistema de seguridad.


5.30 Fallo Condición no normal que puede causar una reducción o pérdida de la capacidad de

una unidad funcional para realizar su función requerida.

5.31 Fallo activo Es aquel fallo revelado o detectado que permite al SIS tomar una acción. También

contempla los falsos cortes.

5.32 Fallo aleatorio Es un fallo que ocurre en un momento cualquiera como resultado de uno o más

mecanismos de degradación. Normalmente es un fallo permanente debido a la pérdida de funcionalidad del componente del sistema.

5.33 Fallo dependiente Fallo cuya probabilidad no puede ser expresada como el simple producto de

probabilidades incondicionales de los evento individuales que lo causaron. Los fallos dependientes están incluidos en los de causa común.


38

5.34 Fallo pasivo Fallos o averías que se pueden clasificar como ocultas o pasivas, encubiertas, no

detectadas, latentes o peligrosas. Como son indetectables, no activan el sistema instrumentado de seguridad. Por ejemplo, un transmisor de nivel se bloquea al 35% enviando una señal al sistema de control, este interpreta que el valor es válido, sin embargo el nivel esta fluctuando. (Puede que las ramas de proceso se haya taponado o bien que el instrumento falle)

5.35 Fallo peligroso Fallo que tiene el potencial de poner el sistema instrumentado de seguridad en un

estado peligroso o un estado de fallo para funcionar. Que este fallo nos lleve a una situación peligrosa depende de la arquitectura del sistema. Así un sistema con múltiples canales mejora la seguridad.

5.36 Fallo sistemático Fallo debido a errores en las actividades del ciclo de vida de seguridad, que causan

que el SIS falle bajo alguna combinación particular de entradas o bajo ciertas condiciones. Es un fallo relacionado con cierta causa que sólo puede ser eliminada mediante modificación del diseño o del proceso de fabricación, procedimientos de operación u otros factores relevantes. Normalmente es debido a un error en el diseño (error de programación, uso de componentes inadecuados, etc.). Un fallo sistemático puede causar el fallo simultáneo en varios canales de un sistema redundante, por lo que la redundancia no es una protección contra los fallos sistemáticos.

5.37 Fallo seguro Es un fallo que no tiene el potencial para poner el SIS en un estado de fallo o peligro

para funcionar.

5.38 Fallo de causa común Fallo resultado de uno o más eventos, causando fallos de dos o más canales1 en un

sistema de canales múltiples conduciendo al fallo del SIS.

Figura 5.39.1. Fallos de causa común

1 Canal es un grupo de elementos que independientemente realizan una función


39

5.39 Fallo de modo común Fallo de dos o más canales1 en el mismo sentido, causando el mismo resultado de

error.

Figura 5.40.1 Fallos de modo común

5.40 Función lógica (Logic function) Función que realiza la transformación entre enradas (inputs) de información

(proporcionadas por una o más funciones de entrada) y salidas (outputs) de información/actuación (utilizadas por una o más salidas de funciones). Las funciones lógicas proporcionan la transformación de una o más funciones de entrada en una o más funciones de salida.

5.41 Instalaciones externas de reducción de riesgo Medidas destinadas a reducir o mitigar los riesgos, estas medidas son ajenas al SIS y

están desligadas de él. Por ejemplo sistemas de drenado, diques de contención cortafuegos, discos de rotura, etc.

5.42 Interfaz Mantenimineto/Ingenieria (Maintenance/engineering interface) Interfaz entendido como un elemento de conexión que facilita el intercambio de

datos, es aquel hardware y software que permite un correcto mantenimiento, modificación y visualización del estado del SIS. Puede incluir instrucciones y diagnósticos, que podemos encontrar en software, terminales de programación con los apropiados protocolos de comunicación, herramientas de diagnóstico, indicadores, bypass de equipos, test y calibración de equipos.

5.43 Lenguajes Software en subsistemas SIS. (Software languages in SIS subsystems)

Los estándares IEC 61508 y IEC 61511 definen tres tipos de lenguajes. Para aplicaciones SIL 1 a SIL 3 el estándar considera adecuado el uso de lenguajes fijos y limitados, aunque no especifican requisitos de programación.

• Fixed program language (FPL): Bajo este tipo de lenguaje, el usuario está limitado al ajuste de unos pocos parámetros (p.ej. rango de transmisores, puntos de alarma, direcciones de red), Ejemplos típicos de dispositivos con lenguaje FPL son: transmisores inteligentes (smart sensors), válvulas inteligentes (smart valves), Secuencia de eventos de un controlador (SOE de un controlador), etc.

• Limited variability language (LVL): lenguaje de variabilidad limitada, este tipo de lenguaje está diseñado para ser comprensible por los usuarios del sector


40

de proceso y proporciona la capacidad para combinar funciones predefinidas, aplicaciones específicas, librería de funciones para implementar las especificaciones de los requisitos de seguridad. Un LVL proporciona una correspondencia funcional con las funciones requeridas para lograr la aplicación (p.ej. PLC’s estándar).

• Full variability language (FVL): lenguaje de variabilidad total, este tipo de lenguaje está diseñado para ser comprensible por los programadores, y proporcionar la capacidad de implementar una amplia variedad de funciones y aplicaciones. Ejemplos de FVL incluyen: Ada, C++, Pascal, SQL, etc. En el sector de proceso, FVL es encontrado en el software embedido y raramente en el software de aplicación.

5.44 Tipos de software • Software de aplicación: Software específico para el usuario de la aplicación. En

general contiene secuencias lógicas, permisivos, límites, expresiones, etc. que controla las entradas, salidas, cálculos, decisiones necesarias para llegar a los requerimientos de las funciones instrumentadas de seguridad. El software de aplicación es el que el usuario escribe y descarga al controlador.

• Software embedido: software que es parte del sistema proporcionado por el fabricante y no es accesible para modificación por parte del usuario final. También está referido al firmware o system software.

• Software de servicios: herramientas software para creación, modificación, y documentación de programas de aplicación. No son requeridas para la operación del SIS.

5.45 Manual de seguridad. (Safety Manual) Un manual de seguridad define como los dispositivos o sistemas pueden ser

aplicados de una forma segura. Puede ser un documento de puesta en marcha, un manual de instrucciones, un manual de programación, un documento estándar o un documento de usuario definiendo límites de aplicación.

5.46 Mitigación (Mitigation) Acción que reduce las consecuencias de un suceso que lleve asociado un riesgo.

5.47 MooN system (Sistema MooN) Sistemas de seguridad instrumentados o parte de ellos, compuestos por “N” canales

independientes y de los que sólo son necesarios “M” canales para realizar la función instrumentada de seguridad. Redundancia de canales.

5.48 MOC, Management of change Proceso para la identificación y realización de cambios en el sistema instrumentado

de seguridad, que no representan una "sustitución del mismo tipo", valoración del riesgo e impacto de potencial del cambio incluyendo documentación y entrenamiento para ejecutarlo apropiadamente.


41

5.49 Modo de operación (Mode of operation) El modo, la manera como una función instrumentada de seguridad trabaja:

• SIF en modo demanda: Donde una acción (p.ej. cierre de una válvula) es tomada en respuesta a las condiciones de proceso o a otras demandas. La acción está en espera y solo se ejecutará cuando sea solicitada por la función instrumentada de seguridad. En caso de que suceda un fallo peligroso de una SIF (la función de seguridad deja de ser operativa por cualquier fallo sin que esto sea apreciado por el usuario), un peligro potencial solamente ocurrirá en caso de un fallo en el proceso o en el BPCS.

• SIF en modo continuo: Donde en caso de un fallo peligroso de una SIF (la función de seguridad deja de ser operativa por cualquier fallo sin que esto sea apreciado por el usuario) un peligro potencial ocurrirá sin fallos posteriores a menos que la acción sea tomada para prevenirlo. La función de seguridad está continuamente ejecutándose.

El modo continuo cubre aquellas funciones relativas a la seguridad, que implementan control continuo para mantener la seguridad funcional.

Las aplicaciones en modo demanda donde el índice de demanda es mayor de una vez por año, el índice de riesgo no será mayor que el índice de fallo peligroso de la función. En estos casos es apropiado usar el criterio de modo continuo.

El modo en demanda lo podemos separar en Modo en Baja Demanda si la condición peligrosa (acción o demanda del sistema de seguridad) ocurre de manera infrecuente –una vez por año- y es al menos 2 veces menos frecuente que el intervalo de pruebas periódicas. Modo en Alta Demanda si la frecuencia de demanda de operación del sistema de seguridad es mayor de una vez por año o mayor del doble de la frecuencia del intervalo de las pruebas de test.

Para cualquier SIF operando en modo continuo o en modo demanda, el SIL requerido se especificará de acuerdo con las siguientes tablas:

Tabla 5.50.1: IEC 61511. Nivel integro de seguridad (SIL) probabilidad de fallo en demanda


42

Tabla 5.50.2: IEC 61511. Nivel integro de seguridad (SIL) Frecuencia de fallos peligrosos del SIF

5.50 MTTF Mean Time to Fail. Tiempo medio para fallos. También podemos encontrarlos con

los añadidos “peligroso” MTTFD y “falso” MTTFspurious. Fallos peligrosos son típicamente los de tipo pasivo o no revelado, no detectados. En falso se refiere a aquellos que disparan una activación innecesaria del sistema y se asocian a un fallo activo, revelado o detectado de un elemento del sistema. Un tiempo medio de disparo en falso es el tiempo medio para que presente un fallo el SIS en un paro en falso del proceso o del equipo bajo control. MTTF se usa para determinar la disponibilidad del sistema. λ es la tasa de fallos.

MTTF = 1 / λ (6)

5.51 MTTR Mean Time to Repair. Es el tiempo medio necesario para la reparación de un módulo

o elemento de un SIS. El tiempo medio es medido desde que ocurre el fallo hasta que la reparación es completa incluyendo la puesta en servicio del dispositivo.

5.52 MTBF Mean Time between fail. Tiempo medio entre fallos teniendo en cuenta el tiempo

medio de un ciclo de fallo más la reposición del equipo. Aplica solo a sistemas que son reparables.

MTBF = MTTF + MTTR (7)

5.53 Nivel Íntegro de Seguridad (SIL). (Safety Integrity Level) Safety Integrity Level (SIL) es un nivel discreto, de 1 a 4, para la especificación de

los requisitos de integridad de las funciones de seguridad a ser asignadas a sistemas instrumentados de seguridad. Cada nivel discreto se refiere a cierta probabilidad de que un sistema referido a seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones establecidas en un periodo de tiempo dado. (Ver punto 5.2)


43

5.54 Operator interface. Interface Operador Los medios por los que la información se comunica entre un operador y el SIS (p.ej.

lámparas de indicación, pulsadores, alarmas, etc.); el interfaz de operación a veces es nombrado como HMI (Human Machine Interface).

5.55 Proven in use Un componente puede ser considerado como proven in use (probado en uso, uso

previo) cuando se documenta una valoración que muestra que hay una evidencia objetiva, basada en la utilización previa del componente, que el componente es apropiado para su uso en sistemas instrumentados de seguridad.

5.56 Probabilidad de fallo en demanda (PFD) Es la medida de integridad de seguridad de una función instrumentada de seguridad

(SIF). Valor que indica la probabilidad de que la función instrumentada de seguridad falle a demanda de manera que no sea capaz de cumplir con su función de seguridad prevista.

5.57 Redundancia (Redundancy) Uso de elementos o sistemas múltiples, de igual o diferente tecnología, para

desempeñar la misma función. La redundancia se utiliza principalmente para mejorar la confiabilidad (reliability) y/o disponibilidad (availability).

5.58 Resolvedor Lógico. (Logic Solver) Aquella parte de cada BPCS o SIS que realiza una o más funciones lógicas. Según la

IEC 61511 se usan los siguientes sistemas lógicos:

• Sistemas lógicos eléctricos para tecnología electromecánica.

• Sistemas lógicos electrónicos para tecnología electrónica.

• Sistemas lógicos electrónicos programables para sistemas electrónicos programables (SPLC, Safety PLC).

5.59 Riesgo del proceso (Risk Process) El riesgo surgido de las condiciones de proceso causadas por los eventos anormales

(incluyendo el malfuncionamiento del BPCS). El propósito principal de determinar el riesgo de proceso es establecer un punto de referencia para el riesgo sin tener en cuenta las capas de protección. La valoración del riesgo llevará asociado el factor humano.

5.60 Seguridad Funcional (Functional Safety) La automatización de los equipos para funciones relacionadas con seguridad en

procesos o maquinarias a través de sistemas instrumentados de seguridad (SIS) implica ciertos riesgos. Si este equipamiento llegara a fallar las consecuencias podrían ser catastróficas.

Los SIS utilizados para propósitos de seguridad normalmente consisten de dispositivos de entrada de datos (por ejemplo: sensores), electrónicas programables (SPLC) y dispositivos de respuesta (por ejemplo: actuadores).


44

La Seguridad Funcional (Functional Safety) persigue que los SIS operen correctamente en respuesta a sus inputs, y que por tanto sea altamente confiables (definición de la agencia TÜV Rheinland).

Conforme a lo establecido en la norma IEC 61508 y en la norma IEC 61511, una evaluación de la Seguridad Funcional debe ser realizada para asegurar que los riesgos inherentes a un proceso y sus equipos asociados son apropiadamente controlados. Esta evaluación debe ser aplicada a través de todas las fases del ciclo de vida descritas en las normas IEC 61508 e IEC 61511, desde la fase del análisis de riesgos hasta la fase de decomisionado.

De esta forma se busca asegurar al usuario o empresa que adquiere un sistema instrumentado de seguridad, que se han seguido los pasos establecidos en las normas IEC 61508 e IEC 61511 para cada una de las fases.

5.61 Sensor. Dispositivo o combinación de dispositivos que miden condiciones y variables de

proceso y transmiten la información al sistema de control (p.ej. transmisores, transductores, interruptores de posición, termopares, sondas de pH, etc.).

5.62 Sistema Instrumentado de Seguridad (SIS). (Safety Instrumented System) Es un sistema compuesto por sensores, procesadores lógicos y elementos finales de

control que tienen el propósito de llevar el proceso a un estado seguro cuando se violan condiciones predeterminadas. Implementan una o más funciones instrumentadas de seguridad (SIF’s) tanto de control como de protección. Históricamente se utilizan otros términos para designar un SIS, como ESD (Emergency ShutDown), ESS (Emergency Shutdown System), SSD (Safety Shutdown System), etc.

5.63 Tasa de demanda Frecuencia con la que un SIS es requerido para realizar su función.

5.64 Tasa de fallos (λ) Es la tasa promedio a la cual se espera que ocurran fallos en los componentes del

SIS.

λ = ∆Nf / (Ns * ∆t) (8)

Ns = número de unidades sin fallo al final del periodo

Nf = número de unidades con fallo al final del periodo

∆Nf = número de unidades que fallaron al final del periodo

∆t = periodo de tiempo del ensayo

La tasa de fallo viene dada por el fabricante del equipo, normalmente en forma de MTTF.

La estadística de la tasa de fallos de los equipos obedece a una curva denominada de la bañera que se divide en tres zonas: mortalidad infantil, vida útil y desgaste. El fabricante


45

nos dará la tasa de fallo promedio que es más o menos la tasa constante durante la vida útil del equipo.

5.65 Test de ensayos (Proof Test) La prueba realizada para detectar los defectos inadvertidos, fallos peligrosos en un

SIS. Si es necesario, el sistema puede ser devuelto a su funcionalidad diseñada. Se trata de un test que comprueba el buen funcionamiento del lazo de la función instrumentada de seguridad.

5.66 Tolerancia a fallos Capacidad de una unidad funcional de continuar realizando su función requerida en

presencia de fallos o errores.

5.67 Valoración, evaluación de la seguridad funcional (Functional safety assessment)

Investigación, basada en pruebas, para juzgar la seguridad funcional conseguida por una o más capas de protección.

La evaluación puede realizarse después de cada fase del ciclo de vida de seguridad o al finalizar un número de fases, incluyendo el ciclo de vida de seguridad de los SIS y del software implementado. La norma IEC 61508 sugiere que las personas o departamentos de las compañías que diseñan, implementan y operan equipamiento en el ámbito de la Seguridad Funcional, recurran a una Organización Independiente (p. ej. TÜV) para realizar las evaluaciones de Seguridad Funcional.

5.68 Validación. Actividad por medio de revisión y suministro de evidencia objetiva que los

requerimientos particulares para un uso particular y específico son totalmente cumplidos. Esta actividad demuestra que todas las funciones instrumentadas de seguridad y todos los sistemas instrumentados de seguridad a considerar después de su instalación cumplen en todo con la especificación de los requerimientos de seguridad. Se realizan unas pruebas de aceptación en el sitio (SAT) y un test de seguridad antes de arrancar (Pre-Startup Acceptance Test (PSAT)).


46

Mientras que la verificación se hace en todo el proyecto y se puede realizar donde se realiza el trabajo (en la oficina) la validación sólo ocurre en el sitio, después de instalar y comisionar el sistema.

5.69 Verificación. Confirmación por medio de revisión y suministro de evidencia objetiva del

cumplimiento total de los requerimientos. Con esta actividad se ha de demostrar para cada fase del ciclo de vida de seguridad por medio de análisis y tests, que, para específicas entradas (inputs), las salidas (outputs) se ajustan en todo respecto a los objetivos y requerimientos puestos por la fase en cuestión.

La verificación de actividades incluye:

• Revisiones de salida de cada fase del ciclo de vida para asegurar el cumplimiento con los objetivos y requerimientos de la fase a teniendo en cuenta las entradas específicas de cada fase.

• Revisiones de diseño.

• Pruebas de funcionamiento en el diseño de productos para asegurar que funcionan de acuerdo con sus especificaciones.

• Pruebas de integración de funcionamiento, donde diferentes partes de un sistema son puestas de una manera gradual y realizando pruebas medioambientales para asegurar que todas las partes del sistema trabajan juntas de la forma especificada.

Bibliografía y referencias: [1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,

IEC (International Electrotechnical Comission). 2003.


[3] Sistemas Instrumentados de Seguridad. Evolución, diseño y aplicación. Ing. Roberto E. Varela. SRL, setiembre 2003.

[4] EMERSON Process Management, Plantweb University, courses SIS, 2005.

[5] http://www.tuv.com/es/seguridad_funcional.html


[7] Fiabilidad y Seguridad: Su aplicación en procesos industriales. Antoni Creus Solé. 2ª edición. MARCOMBO, 2005.

http://www.tuv.com/es/seguridad_funcional.html

Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad

47

6 Gerencia de Seguridad Funcional

El propósito de este capítulo es identificar todas las actividades de dirección y gestión necesarias para asegurar que los objetivos de la seguridad funcional se cumplen y son realizados.

La gerencia está dirigida al logro y al mantenimiento de la seguridad funcional de un sistema instrumentado de seguridad. No está dirigida a gestionar las medidas de seguridad y salud en el lugar de trabajo.

Diremos que la gerencia de seguridad funcional dirige las actividades asociadas con la seguridad de los equipos y procesos, en la medida que están involucrados en el funcionamiento de los sistemas de seguridad.

Los requerimientos básicos de la gerencia de seguridad funcional (GSF1) están cubiertos por un sistema de gestión de calidad, unos procedimientos y normalmente por unos estándares que redacta y fija la compañía donde se aplica el sistema de seguridad, asimismo las normativas son una buena fuente de referencia. La IEC 61508 cubre todos los aspectos, incluyendo el desarrollo del hardware y software de los sistemas de seguridad (parte 1, cláusula 6). La IEC 61511 se concentra en los propietarios del proceso y en los usuarios de los sistemas de seguridad (parte1, cláusula 5).

La implementación de una buena gerencia de seguridad funcional aunque esté guiada por estos estándares no resulta ni obvia ni sencilla, por lo que precisa de personal altamente cualificado y entrenado que sea capaz de planificar y documentar todos los pasos ejecutados, relativos al logro de la seguridad funcional durante todo el ciclo de vida de seguridad.

En los siguientes capítulos se describirán unos requisitos y estructuras básicas de gerencia de seguridad, como ejemplo, basados en las normas IEC 61511 y IEC 61508. Cada organización o corporación deberá adaptar la norma a sus necesidades y competencias.

6.1 Requisitos generales

6.1.1 Recursos y Organización La IEC 61511 y la IEC 61508 requiere que las personas, departamentos u

organizaciones involucradas en las actividades del ciclo de vida de seguridad y que tienen competencia para llevar a cabo las actividades de las que son responsables tengan conocimiento y experiencia demostrada sobre ingeniería de seguridad adecuadas al proceso y a las tecnologías del SIS que se estén usando.

A continuación se resumen una serie de competencias y conocimientos básicos que personas, departamentos, organizaciones u otras unidades involucradas han de tener, para formar parte del equipo que realiza cada una de las actividades del ciclo de vida de seguridad2:

1 También se puede encontra el acrónimo FSM Functional Safety Management. 2 Ver capítulo 7.1 Ciclo de vida de Seguridad


48

• Conocimientos de ingeniería de proceso, entrenamiento y experiencia adecuada en la aplicación del proceso.

• Conocimientos de ingeniería, entrenamiento y experiencia adecuada en instrumentación, sensores y elementos finales.

• Conocimientos de ingeniería, entrenamiento y experiencia adecuada en la tecnología aplicable (p. ej. electricidad, electrónica o electrónica programable E/E/EP).

• Conocimientos en ingeniería de seguridad (p. ej. análisis de seguridad y riesgo del proceso).

• Destreza en dirección, gestión y liderazgo apropiado a su papel en actividades del ciclo de vida de seguridad.

• Conocimiento de la consecuencia potencial de eventos.

• Conocimiento del nivel de integridad de la seguridad de las funciones instrumentadas de seguridad.

• Familiarizado con la complejidad de la aplicación y la tecnología.

• Conocimiento de las normas que se van a seguir y de la legislación vigente relativa a seguridad.

Es recomendable que la persona designada como experto del SIS en electricidad e instrumentación (E&I) sea el ingeniero de mantenimiento de electricidad e instrumentación (E&I) de la planta. Sin embargo el Jefe de planta (Plant Manager) puede designar a otro miembro cualificado de la plantilla con suficiente criterio.

A modo de ejemplo podemos encontrar que el Plant Manager será el responsable de nombrar al experto en E&I, por escrito, para la elaboración y gestión del SIS para cada sistema SIS, siempre teniendo en cuenta las condiciones antes señaladas.

Un documento simple anexado será necesario para cada parte que sea nombrada y asuma el rol de experto SIS en Electricidad e Instrumentación. Una copia del documento firmada será guardada por el jefe de operación de la planta.

Anualmente pasará una re-evaluación cualquier miembro que forme parte de un grupo de expertos SIS. Los Ingenieros jefes, directores y cualquier miembro del equipo son ellos mismos los responsables de asegurar su entrenamiento y su puesta al día con la tecnología vigente.

El Ingeniero SIS experto en el área E&I coordinará o revisará las actividades en la fase del ciclo de vida para la que este nombrado.

6.1.2 Evaluación y gestión del riesgo Los peligros serán identificados y los riesgos evaluados y se determinará la

necesidad de reducir el valor de riesgo hasta alcanzar un riesgo tolerable de acuerdo con las directivas de seguridad, salud y protección del medioambiente fijadas por la compañía, en la planificación y construcción de plantas de proceso.

También es importante considerar el potencial de perdida de capital, por razones económicas y pérdida de imagen de la compañía.


49

6.1.3 Planificación de seguridad y responsabilidades E&I durante el Ciclo de vida La planificación de seguridad definirá que actividades han de realizarse durante el

ciclo de vida de seguridad y al mismo tiempo que personas, departamentos, organización u otras unidades son las responsables de llevar y dirigir estas actividades.

Esta planificación será actualizada siempre que sea necesario durante todo el ciclo de vida de seguridad. La tabla 6.1.3.1 muestra un ejemplo corporativo donde interviene personal de la propia organización y personal externo.

Etapas del ciclo de vida de seguridad1 y actividades con responsabilidades E&I

Responsabilidades de ingeniería E&I y aplicación del “principio de cuatro ojos”

Proyecto gestionado por

Personal de la compañía

Contratista externo

a) Revisiones de seguridad y participación en el proyecto.

• Definición de las funciones instrumentadas de seguridad requeridas y del nivel SIL requerido.

• Especificación de las SIF.

• Aclaración de puntos adicionales resultado de un checklist.

• Participar en las diferentes revisiones de seguridad.

Participación de un ingeniero E&I para la contribución específica de E&I (ME)

Ingeniero líder del proyecto

y

Ingeniero E&I de la compañía (ME)

b) Especificaciones, diseño básico y de detalle. Discusión de los requerimientos. Determinación de redundancia, lazos y diagramas típicos, selección de los dispositivos E&I, concepto de automatización, procedimientos para el test funcional, etc.

• Desarrollo del diseño por el ingeniero responsable E&I. (DE)

• Confirmación por un segundo ingeniero E&I. (ME)

Diseño realizado por el contratista y aprobado por el ingeniero E&I de la compañía. (DE) y (ME)

c) Revisión de conformidad A partir de las evaluaciones de seguridad y del diseño básico y de detalle(ver apartados a y b), aprobación por firmas (en cada hoja) de los siguientes documentos de ingeniería básica y

Documentos suministrados y firmados por el Ingeniero E&I de diseño (DE). Un segundo Ingeniero E&I

Documentos entregados por el contratista,

Aprobación por

1 Ver capítulo 7.1 Ciclo de vida de seguridad


50

de detalle:

• Lista de tags E&I.

• Diagramas lógicos.

• Hojas de test.

• Diagramas de lazo.

• Diagramas unificares.

• Software de aplicación (SPLC1).

• Documentos adicionales necesarios, que describan alguna otra medida relacionada con la seguridad instrumentada.

para aprobación (ME).

El ingeniero que diseña y el que chequea no pueden ser la misma persona.

ingenieros E&I de la compañía (DE) y (ME).

d) Precomisionado (PSSR Pre-Start Safety Review), chequeo de:

• Implementación del sistema.

• Función del sistema.

• Documentación.

• Identificación local y asignación de tags

Aprobación en hojas de test, firma ME. (ANEXO N: TEST FUNCIONAL)

Ejecutado por un supervisor/técnico E&I.

Supervisado y firmado por un ingeniero E&I (ME).

Ingeniero E&I (contratista)

e

Ingeniero E&I propio de la compañía (ME).

e) Mantenimiento Test de pruebas periódicas, y supervisión de los resultados.

Aprobación en hojas de test, firma ME. (ANEXO N: TEST FUNCIONAL)

Firmado por el operador que realiza el test, supervisado por un superior, normalmente su supervisor E&I. (ME)

Tabla 6.1.3.1: Responsabilidades para las actividades del ciclo de vida de seguridad

NOTA: (ME) Ingeniero de Mantenimiento, (DE) Ingeniero de proyecto de la disciplina tratada

En la tabla anterior se especifica como normalmente y a modo de ejemplo real se distribuyen las actividades durante el ciclo de vida y quien se responsabiliza en la disciplina de instrumentación, control y electricidad (E&I) en la gestión de cada una de las actividades.

Principios básicos:

• Durante cada fase del ciclo de vida de seguridad, siempre hay un ingeniero E&I de la compañía responsable en cada una de las actividades de la fase del ciclo de vida tratada.

• El ingeniero E&I necesita estar acreditado y debe haber adquirido suficiente competencia en sistemas instrumentados de seguridad.

1 Safety PLC, PLC de seguridad.


51

• El principio de los 4 ojos debe ser implementado en todas las actividades esenciales.

• La participación de un contratista depende en si está actuando como el licenciatario y provee el diseño básico o sólo participa en la ejecución del diseño de detalle.

6.1.4 Implementación y seguimiento Todos los procedimientos serán implementados para asegurar el seguimiento y la

resolución de las recomendaciones relativas al SIS derivadas del:

• Análisis de peligro y evaluación del riesgo.

• Evaluación y revisión de actividades.

• Verificación de actividades.

• Validación de actividades.

• Actividades post incidente y post accidente.

A cualquier proveedor, suministrador de productos o servicios, teniendo responsabilidad para una o más fases del ciclo de vida de seguridad, se le exigirá entregar los productos o servicios como se han especificado en el diseño del SIS aprobado por la compañía propietaria del proceso. Asimismo ha de exigirse un sistema de gestión de calidad en el suministro.

Los procedimientos serán implementados para evaluar el rendimiento del sistema instrumentado de seguridad incluyendo procedimientos para:

• Identificación y prevención de fallos sistemáticos que podrían poner en peligro la seguridad.

• Valorar si el índice de fallos peligrosos de un sistema instrumentado de seguridad están en acorde con los asumidos durante el diseño:

- Los fallos peligrosos son revelados por medio de los test de ensayos iniciales y periódicos, diagnósticos o fallos para operar en demanda.

- Considerar los procedimientos que definen la necesidad de tomar una acción correctiva si el índice de fallo es mayor que el que fue asumido durante el diseño.

• Valoración del índice de demanda de las funciones instrumentadas de seguridad durante la operación para verificar suposiciones hechas durante la valoración de riesgo.

6.2 Evaluación, Auditorias y Revisiones

6.2.1 Evaluación de la seguridad funcional La evaluación de la seguridad funcional analizará y como se alcanza la seguridad

funcional y la integridad de seguridad por el sistema instrumentado de seguridad. La evaluación será realizada por un equipo que forma parte del grupo que gestiona el

seguimiento del proyecto y tiene como directivas la seguridad, salud y la protección del medio ambiente y por el equipo E&I, allí donde se precise, –por 2 personas E&I independientes (principio de 4 ojos)-. Es necesario que para realizar la evaluación, el


52

equipo este formado por expertos tanto técnicos, como de aplicación y operación de cada instalación unitaria. La selección del personal que debe realizar la evaluación debe ser la adecuada para cada unidad de planta. El equipo de evaluación debe incluir como mínimo un ingeniero sénior no involucrado con el equipo de diseño del proyecto.

Las etapas en el ciclo de vida de seguridad donde se realicen actividades de valoración y evaluación de seguridad funcional serán identificadas durante la planificación de seguridad.

Es posible que sea necesario introducir actividades adicionales de evaluación de seguridad funcional como consecuencia de identificar nuevos peligros/riesgos, por ejemplo después de una modificación.

6.2.2 Evaluación y Revisión de las actividades durante el ciclo de vida La siguiente tabla muestra las diferentes etapas de evaluación de la seguridad

funcional de las diferentes actividades durante el ciclo de vida en un sistema instrumentado de seguridad teniendo como referencia la norma IEC61511. Se realiza una comparación entre el ciclo de vida propuesto por la IEC 61511 y el ciclo de vida ejemplo. (Ver figura 7.1.1 Ciclo de vida de seguridad según IEC 61511. Capítulo 7.1 Ciclo de Vida de Seguridad) (Ver figura 7.1.3 Ciclo de Vida de seguridad SIS ejemplo Capítulo 7.1 Ciclo de Vida de Seguridad).

IEC 615111 Ejemplo2

Etapas de revisión de acuerdo con IEC 61511.

Paso en el ciclo de vida.

Pasos de Evaluación del riesgo y peligro de acuerdo con las directivas y estándar de la compañía.

Responsables para la actividad (Nota: El principio de los 4 ojos debe asegurar en todos los casos una revisión independiente en cada etapa).

Evaluación del peligro y riesgo. Pasos 1,2.

Equipo de evaluación de riesgos y peligros.

Etapa 1

Después de la realización de la evaluación de peligros y riesgos, de identificar las capas de protección requeridas y de haber desarrollado la especificación de los requisitos de seguridad.

Diseño de detalle del SIS.

Ingeniero E&I de diseño más el ingeniero E&I de mantenimiento

Etapa 2 Después de diseñar el sistema instrumentado de seguridad.

Paso 3 (verificación SIL).

Equipo de revisión de seguridad (Safety review team).

Etapa 3 Después de completar la instalación, precomisionado y

Paso 4 (PSSR) Pre-Start Safety Review.

Equipo de revisión de seguridad (Safety review

1 Figura 7.1.1 Ciclo de vida de seguridad según IEC 61511. Capítulo 7.1. 2 Figura 7.1.3 Ciclo de Vida de Seguridad SIS ejemplo. Capítulo 7.1.


53

validación final del sistema instrumentado de seguridad y una vez los procedimientos de operación y mantenimiento han sido desarrollados.

team).

Etapa 4

Después de adquirir experiencia en el mantenimiento y operación de la planta.

Validación/revalidación del diseño.

Ingeniero E&I y el jefe de planta o por una persona designada y capacitada.

Etapa 5

Después de modificaciones y previo al decomisionado del sistema instrumentado de seguridad.

Se requiere evaluación y aprobación previa para implementar el cambio.

Será definido por el jefe de operación (jefe de planta) o persona designada para ello dependiente de los planes de modificación con lo establecido en el sistema MOC system (Management of Change).

Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida

El número, tamaño y alcance de la evaluación de las actividades de la seguridad funcional dependerá de diferentes circunstancias. Los factores para determinar esta decisión son los siguientes:

• Tamaño del proyecto.

• Grado de complejidad.

• Nivel de integridad de seguridad (SIL).

• Duración del proyecto.

• Consecuencia del fallo en el evento.

• Grado de estandarización de la característica del diseño.

• Requerimientos normativos de seguridad.

• Experiencia previa con un diseño similar.

La evaluación de la seguridad funcional en el Paso 4 / PSSR se realizará para asegurar que los equipos asociados a los riesgos que aparecen en un proceso son los adecuados para controlar esos riesgos y realizan la función tal y como se diseñó antes de la puesta en marcha de sistema. El equipo de evaluación (team assessment) debe confirmar que:

• Se ha realizado una evaluación de riesgos y peligros.

• Los procedimientos de cambio del diseño del proyecto han sido implementados apropiadamente y están documentados.

• Las recomendaciones surgidas de la evaluación de riesgos y peligros aplicables al sistema instrumentado de seguridad han sido implementadas o resueltas.


54

• Las recomendaciones que surgen de la evaluación de la seguridad funcional previa han sido resueltas.

• El sistema instrumentado de seguridad está diseñado, construido e instalado conforme a la especificación de los requisitos de seguridad (SRS) y cualquier diferencia ha sido identificada y resuelta.

• Los procedimientos de seguridad, operación, mantenimiento y emergencia relacionados con el sistema instrumentado de seguridad son correctos.

• El plan de validación del sistema instrumentado de seguridad es apropiado y las actividades de validación se han completado.

• El entrenamiento de los empleados ha sido completado y se ha dado una correcta información sobre el sistema instrumentado de seguridad al personal de mantenimiento y operación.

• Se han realizado planes o estrategias para la implementación de futuras evaluaciones de seguridad funcional.

Las herramientas tales como equipos de medida, equipos de test, equipos que se usan durante las actividades de mantenimiento y que se usan por cualquier actividad del ciclo de vida, estarán sujetas a una evaluación de la seguridad funcional.

Los resultados de la evaluación de la seguridad funcional serán documentados.

6.2.3 Auditorias y revisión Regularmente se realizarán revisiones y auditorias del sistema instrumentado de

seguridad. Las auditorias se realizarán por personas, departamentos u organizaciones independientes de las personas encargadas de las actividades del ciclo de vida del sistema instrumentado de seguridad. Independientes en este contexto significa que un ingeniero de otra planta o un miembro de un grupo de trabajo SIS regional o local puede realizar la evaluación/auditoria. La normativa IEC 61511 indica que debe haber un grado de independencia pero no indica que tipo de grado.

Las auditorias se documentarán y darán fe de que los procedimientos redactados durante el ciclo de vida de seguridad se siguen y se realizan. Sobre todo es importante auditar los planes y procedimientos de prueba y mantenimiento del sistema de seguridad una vez la planta está en funcionamiento para asegurar a las autoridades e inspecciones que todo se realiza según lo especificado. Recordemos que en la actualidad el lema de las empresas es: “La seguridad es lo primero”.


IEC (International Electrotechnical Comission). 2003


[3] http://www.tuv.com/es/seguridad_funcional.html

[4] Curso: Experto en Seguridad Funcional, Madrid, Octubre 2006, EXIDA (ISA). Instructor: Oswaldo E. Moreno, CFSE.

[5] Seminario: Functional Safety for the Process Industry. TÜV SÜD, Electronics Safety. Automation and Drives, SIEMENS. Barcelona 2006.

http://www.tuv.com/es/seguridad_funcional.html

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

55

7 Sistema Instrumentado de Seguridad

Con anterioridad a 1980 no había estándares ni normas de ingeniería para el diseño de sistemas de parada de emergencia. No se hacían cálculos de confiabilidad y la gran mayoría de sistemas de protección eran diseñados, instalados y mantenidos por los departamentos de instrumentación y electricidad de las empresas, usando relés e interruptores como elementos estándares de control.

En la década de 1960 se introducen los primeros interruptores de estado sólido (basados en transistores) y unidades lógicas. La introducción de la tecnología de estado sólido fue punto de partida para el desarrollo de aplicaciones de control lógico. Debido a que estos elementos tienen un modo de falla impredecible (Transistores, diodos y triacs principalmente) se estableció que para ser utilizados en sistemas de protección debían configurarse de forma redundante. La invención del circuito integrado en 1958 por “Texas Instruments” prepara el camino para la aparición de microprocesadores y microcomputadores. En los años 80 se empiezan a utilizar los PLC’s (Controladores Lógicos Programables), pero que al igual que los sistemas de estado sólido tenían un modo de fallo impredecible, por lo que también debieron adoptar un esquema redundante para alcanzar los requisitos de seguridad ante fallos. Las configuraciones de PLC’s redundantes durante un periodo fueron especificados para aplicaciones de seguridad. Aunque era una solución fiable esta solución daba problemas de disponibilidad. No es hasta la aparición de los microprocesadores de 32 bits (finales de los años 80), con alta velocidad de procesamiento, cuando se empieza a desarrollar equipos de seguridad mediante PLC’s redundantes, debido entonces, a un precio ya razonable para la industria y a que, además cumplían 2 premisas básicas en sistemas de seguridad: disponibilidad y fiabilidad.

Resumen de la evolución en sistemas de seguridad y seguridad funcional1:

Años 60:

• Lógica cableada con relés e interruptores.

• Instalación donde se identificaba la necesidad de seguridad.

Años 70:

• Lógica cableada con relés e interruptores.

• Lógica de estado sólido.

• Instalación donde se identificaba la necesidad de seguridad.

Años 80:

• Comienzo de uso de PLC’s.

• 1ª generación de Sistemas de seguridad. TMR (Triple Modular Redundancy) (Ej. Tricon de TRICONEX).

• Se desarrolla el procedimiento HAZOP.

• Sin embargo los accidentes continuaban.

1 Referencia: “Trenes in Process Safety”, Asís Ghosh, ARC Advisory Group, July 2004


56

Años 90:

• Nacen los PLC’s de seguridad

• 2ª generación de sistemas de seguridad. Emplean un alto nivel de diagnóstico (D) acoplado a técnicas de votación (1oo2D, 2oo3) para proveer seguridad y disponibilidad con más tolerancia a fallos y menor coste que los sistemas de primera generación. Ej. H41q/H51q de HIMA, FSC de Honeywell, evolución de Tricon de TRICONEX. Sistemas certificados por TÜV según el estándar IEC 61508 a finales de la década de los 90.

• Se desarrollan estándares para los PLC’s de seguridad.

• Aparecen las arquitecturas con diagnóstico.

• Se desarrollan metodologías para el análisis cuantitativo de riesgos.

• Se introducen metodologías para la identificación sistemática de riesgos.

Años 2000:

• Equipos certificados para aplicaciones de seguridad (Válvulas, transmisores, etc.) según IEC 61508.

• Aparece la 3º generación de sistemas de seguridad FMR (Flexible Modular Redundancy), certificados por TÜV según IEC 61508. Ej. DeltaV SIS de EMERSON, SIMATIC S7-F/FH de SIEMENS.

• Ofrecen un alto nivel de diagnósticos.

• Alta integración con el DCS.

• Son sistemas altamente modulares y escalables.

• Ofrecen herramientas avanzadas de programación.

• Empiezan a incorporar tecnología de bus de campo.

• Se implantan los procesos basados en el ciclo de vida de seguridad.

• Aplicación de IEC 61511 y ANSI/ISA 84 (2004): Seguridad funcional - Sistemas instrumentados de seguridad para la industria de procesos.

Figura 7.1. Evolución de los sistemas de seguridad


57

Las normativas y estándares sobre seguridad funcional, ANSI/ISA-S84.00.01, IEC 61511 y IEC 61508 establecen diferentes etapas a cubrir en el Ciclo de Vida de Seguridad de un sistema instrumentado de seguridad, desde la concepción inicial hasta su desmantelamiento. Nace fruto de la exigencia de crear y desarrollar de forma continua nuevas estrategias que aumenten la seguridad de la planta y en procesos como parte normal de la filosofía de trabajo en las áreas de diseño, operación y mantenimiento.

Estos estándares tienen presente aspectos esenciales como análisis, diseño, verificación y documentación y es donde las compañías deben prestar un gran cuidado en cada una de ellas para asegurar que los niveles de seguridad deseados se cumplan. Pese a todas estas precauciones ocurren accidentes con diferentes consecuencias.

En 1995, el Ejecutivo Británico de Salud y Seguridad (Health and Safety Executive, HSE) publicó un artículo titulado “fuera de control” (out of control) donde se discute porque fallan los sistemas y cómo prever los fallos. Concluyó que 34 accidentes en diferentes industrias empezaron por fallos en los equipos de control y seguridad. Los resultados del estudio se resumen en la figura 7.2 donde se indica donde se produjeron los fallos en el ciclo de vida. Vemos que en las especificaciones del sistema, incluyendo una mala valoración de los SIL, es donde se producen más errores.

El resultado de este estudio llevó al desarrollo del “ciclo de vida de seguridad funcional”, que es definido en los estándares internacionales de seguridad ANSI/ISA-S84.00.01, IEC 61511 y IEC 61508.

Figura 7.2. Causas más comunes de accidentes debido a los SIS

Desde el inicio del proyecto, se empieza a estudiar la seguridad del proceso. Los ingenieros de diseño seleccionan los equipos y la tecnología a utilizar en el proceso que ofrezcan una operación segura. Luego se selecciona el sistema básico de control que permita operar las variables de proceso dentro de los límites establecidos. Un buen diseño del sistema básico de control permite una reducción significativa de los riesgos asociados al proceso. Esta parte trataría el diseño conceptual del proceso, donde se desarrolla la ingeniería básica y de detalle del proceso, diagramas de instrumentación, P&ID’s, sistema de control, hojas técnicas de los equipos, forma de operación, etc. Dentro de las capas de protección del proceso estaríamos hablando de la primera capa de protección (figura 1.1 Capas de protección, capítulo 1 Introducción) (figura 7.3. Capa de protección Control del proceso)

Figura 7.3. Capa de protección Control del proceso


58

Bajo condiciones y circunstancias normales el sistema básico de control de proceso (BPCS) mantiene el proceso dentro de las condiciones pre-establecidas.

Si el sistema de control falla, por cualquier circunstancia, en ejecutar su función y las variables de proceso salen de la zona considerada como comportamiento normal, se utilizan alarmas para alertar a los operadores. El proceso en ese momento requiere de una intervención por parte de los operadores para reconducir el proceso a una situación normal. Este sistema de alarmas también aporta una reducción del riesgo y es muy importante el realizar una buena aplicación y gestión de alarmas1. Estamos hablando de la segunda capa de protección (figura 1.1 Capas de protección, capítulo 1 Introducción) (figura 7.4. Capa de protección Alarmas).

Figura 7.4. Capa de protección Alarmas

Algunas veces las variables salen fuera de control y el operador debe tomar la acción para llevar el proceso a los valores predefinidos y pre-establecidos.

Es en este momento cuando se decide si se debe y es necesario implementar un sistema integrado de seguridad, que pare el proceso cuando se violen unas condiciones que hacen que el proceso se vuelva peligroso. Este sistema instrumentado de seguridad es un sistema de paro y como todas las capas, contribuye a que el riesgo inherente del proceso se reduzca a un riesgo tolerable. Se trata de la última capa de protección que encontramos en seguridad funcional, estamos hablando de la capa de protección Sistema Instrumentado de Seguridad (figura 7.5. Capa de protección Sistema Instrumentado de Seguridad). Si esta capa de protección también falla o por cualquier razón no es capaz de llevar el proceso a un estado seguro entran en acción las siguientes capas, que ahora pasan a denominarse de mitigación, (ver figura 1.1 Capas de protección, capítulo 1 Introducción). Las capas de mitigación intentan reducir el riesgo cuando el incidente ya se ha producido y son las que se mencionan a continuación en el orden que entran a actuar:

• Capa de mitigación Fuego y Gas (nivel de seguridad).

• Capa de mitigación Válvulas de seguridad y Discos de ruptura (nivel de seguridad activa).

• Capa de mitigación Diques y Muros de contención (nivel de seguridad pasivo).

1 La metodología HAZOP nos permite alarmar aquellas variables que se consideran necesarias. Para la

gestión de alarmas existe una guía: EEMUA publicación 191 Alarm Systems - A Guide to Design, Management and Procurement (1999) y la norma ANSI/ISA-18.2-2009 – Management of Alarm Systems for the Process Industries. Asimismo existen publicaciones como The Alarm Management Handbook 2nd Edition. Hill Hollifield and Eddie Habibi, published by PAS, (2010).


59

• Capa de mitigación Respuesta de emergencia y planta (nivel de respuesta de emergencia).

Figura 7.5. Capa de protección SIS

Bibliografía y referencias: [1] Sistemas Instrumentados de Seguridad. Evolución, diseño y aplicación. Ing. Roberto E. Varela.

Soluciones en Control SRL, setiembre 2003.

[2] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS. Tarragona, abril 2008.

7.1 Ciclo de Vida de Seguridad El objetivo principal del Ciclo de Vida de Seguridad es la reducción de los riesgos a

niveles tolerables. Se trata de una metodología práctica que delimita los pasos necesarios a seguir para alcanzar la seguridad integral de las plantas de proceso, definiendo la secuenciación y documentación de cada fase. Para ello la normativa establece una serie de etapas que ayudan y sirven de guía para conseguir este objetivo.


60

Para el diseño de un sistema de seguridad las normas y prácticas vigentes utilizan el modelo de “Ciclo de Vida del Sistema de Seguridad (CVSF)”. Las normas y estándares sobre seguridad funcional ANSI/ISA-S84.00.01 y IEC 61511/61508 establecen las distintas etapas a cubrir dentro del ciclo de vida, cubriendo todos los aspectos desde la concepción inicial y análisis de peligrosidad inicial, pasando por la especificación, diseño, verificación, operación y mantenimiento, modificación del sistema, hasta su desmantelamiento.

El ciclo de vida de seguridad representa una descripción simplificada de los pasos lógicos que deben darse para desarrollar un SIS según la norma actual, pero, no necesariamente representa el proceso funcional necesario que una compañía, empresa u organización deba implantar para el diseño del SIS. Las empresas adoptan sus propios sistemas operativos y se organizan de diferentes maneras. Lo que se intenta establecer es que cada empresa tenga un procedimiento formal y organizado para el diseño de sistemas de seguridad que debe cumplir con los requerimientos estándar de seguridad de la empresa, con el ciclo de vida de seguridad, con las normas y reglamentaciones de seguridad del país donde está instalada la empresa y un procedimiento o código de prácticas de ingeniería.

El ciclo de vida representado por la norma no es estrictamente el que las empresas deben aplicar, así en función de sus propias normativas internas modifican el ciclo de vida y aplican el propio ciclo de vida de seguridad de una manera formal y siempre en acuerdo con las normas y estándares aplicables.


61

La figura 7.1.1 muestra el ciclo de vida de seguridad SIS según la norma IEC 61511 y la figura 7.1.3 muestra un ciclo de vida de seguridad SIS ejemplo.

Figura 7.1.1 Ciclo de vida de Seguridad SIS según IEC 61511

Donde las etapas 1 hasta 5 están definidas en el capítulo 6.2.2 y son etapas de evaluación de seguridad recomendadas. El contenido de las cláusulas puede ser consultado en la norma IEC 61511 Parte 1, de la misma forma que las 11 fases o actividades de que se compone el ciclo de vida de seguridad según IEC 61511. Cada fase del ciclo de vida la norma IEC 61511 la define en términos de entradas, salidas y actividades de verificación. (Ver ANEXO A: Vista general del ciclo de vida (IEC 61511)).

Como vemos el ciclo de vida lo podemos dividir en 3 partes importantes:

• Análisis

• Implementación

• Operación


62

Figura 7.1.2 Fases del ciclo de vida de seguridad

Las tres fases del Ciclo de Vida de Seguridad Funcional están dirigidas a resolver las causas de los accidentes identificados en el artículo publicado por el Ejecutivo Británico de Salud y Seguridad (HSE) (figura 7.2 Causas más comunes de accidentes debido a los SIS. Capítulo 7). La fase análisis está enfocada a resolver y evitar el 44% de los fallos debido a errores de especificación, la fase implementación o ejecución está enfocada a resolver el 21% de los accidentes provocados por errores durante el diseño, la implementación y la puesta en servicio y la fase operación intenta minimizar el 35% de los accidentes caudados por incorrecta operación o mal mantenimiento, además de por cambios realizados después de la puesta en marcha del sistema.

El siguiente ciclo de vida de seguridad (Figura 7.1.3), se trata del ciclo de vida que utiliza el ejemplo real de una organización y como se puede observar difiere bien poco del ciclo de vida propuesto por la norma IEC 61511, está totalmente basado en esta norma y en la norma ANSI/ISA S84.01 y las modificaciones más sustanciales las encontramos en que el ejemplo incluye pasos de revisión en el ciclo de vida de seguridad del proceso (safety review). En este ciclo de vida propuesto es obligado que los objetivos de todos los pasos de revisión de seguridad desde 1 a 4 se hayan realizado antes de poner en funcionamiento el SIS.

Los proyectos deben incluir las actividades que revisan el concepto de seguridad en el proceso y valora el riesgo asociado con cada peligro potencial. Para aquellos riesgos que para ser mitigados requieran de un SIS, un valor meta de SIL (Nivel Integrado de Seguridad o nivel de seguridad exigible a las diferentes funciones de seguridad) ha de ser establecido para cada SIF (Función Instrumentada de Seguridad). El valor objetivo propuesto de SIL se identificará durante las revisiones de seguridad y serán usados como base para el diseño del SIS. Las especificaciones de los requerimientos de seguridad (SRS) se elaboran combinando los valores deseados de SIL junto con otros requerimientos que definirán completamente los requisitos de cada SIF. Durante el diseño del proceso, cada SIF propuesta es evaluada para determinar su probabilidad de fallo en demanda media (PFDavg). Este PFDavg será recogido en un documento donde se certificará que cumple con el SIL objetivo demandado. Las siguientes tareas del ciclo de vida van encaminadas como guía para instalar, testear, operar y mantener el SIS seleccionado.


63

Todas las subactividades encaminadas a definir el valor objetivo del SIL estarán en línea con el sistema de ejecución del proyecto existente. El equipo que revisa el proyecto1 es el responsable de asegurar que todos los aspectos del Ciclo de Vida de Seguridad, antes del Paso 2 de revisión, se han realizado incluido la determinación del SIL objetivo. El equipo de revisión de seguridad normalmente consulta o incluye personal especialista de cada disciplina que considere oportuna como, ingenieros E&I y mecánicos e ingenieros de sistemas de control para obtener una mejor visión del alcance del proyecto.

Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo

El diseño conceptual y el diseño de detalle se pueden considerar como un único bloque de ingeniería y diseño del sistema instrumentado de seguridad.

Bibliografía y referencias: [1] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.



1 “Team assessement”. Ver capítulo 6.2.2 Evaluación y revisión de las actividades durante el ciclo de

vida.


64

[4] Artículo: Herramientas para la gestión automatizada de un SIS en todo su ciclo, Autor: Luis García, publicado en julio 2005 en la revista Automática e Instrumentación.

7.1.1 Fase “Análisis” del Ciclo de Vida de Seguridad SIS En la fase análisis del SLC1 se determinarán los requisitos de seguridad del proceso.

Requiere realizar un análisis de peligros y riesgos, aplicar de capas de protección NO-SIS, identificar las funciones de seguridad (SIF), seleccionar el valor objetivo SIL de las diferentes funciones de seguridad del proceso y establecer las especificaciones y requisitos de seguridad funcional.

La fase de Análisis del SCL (Ciclo de Vida de Seguridad) se basa en la identificación y especificación de las funciones que son necesarias para aplicar eficazmente el sistema de seguridad a un proceso, es decir, determinar y documentar cuanta seguridad requiere y necesita.

Las funciones individuales y el flujo de información requerido para poder realizar las tareas del ciclo de vida de forma eficaz se representa en forma de diagrama de flujo en la figura 7.1.1.1 Fase “Análisis” del Ciclo de Vida de Seguridad SIS.

Figura 7.1.1.1 Fase “Análisis” del Ciclo de Vida de Seguridad SIS

1 Ciclo de Vida de Seguridad. También lo podemos encontrar con el acrónimo CVS


65

7.1.2 Diseño Conceptual del Proceso El SLC empieza con el diseño conceptual del proceso y la definición del alcance del

proyecto. Es importante identificar con claridad el propósito del proyecto en términos de objetivos y resultados mesurables. Si las definiciones iniciales del proyecto son ambiguas, los miembros del equipo pueden tener diferentes versiones del alcance del proyecto y por lo tanto llegar a contradicciones en el trabajo. Idealmente la organización debe designar los recursos adecuados, y debe realizar una planificación apropiada de los objetivos al principio del proyecto. Similarmente a una persona individual debería ser dada la responsabilidad final de lograr los objetivos relativos a seguridad y no seguridad.

Respecto a los componentes del proyecto de seguridad, el personal involucrado en el proyecto debe entender claramente el proceso y los equipos del proceso bajo control. Este conocimiento del proceso incluye una idea preliminar de los peligros y riesgos potenciales del proceso, de los equipos y materiales, y que serán estudiados y desarrollados en futuras etapas del SLC. También deben conocer las normas aplicables, leyes, y estándares, regulaciones de salud y medio ambiente. La definición del alcance debe describir claramente los límites del proceso y equipos así como las áreas que serán estudiadas en posteriores etapas de análisis de peligros y riesgos.

Otro ítem a considerar al principio del proyecto es el nivel de riesgo que tolerará en su operación diaria.

Por tanto la gerencia, la organización de la planta y la dirección del proyecto establecerán las pautas de trabajo, objetivos perseguidos (una planta segura), diagramas de flujo, diagramas de proceso e instrumentación, el ámbito económico, político, legal y social y otros requisitos necesarios para el desarrollo del proyecto. El método que se utiliza para cumplimentar este punto está fuera del alcance de la IEC 61511.

7.1.3 Análisis de Peligros y Riesgos del Proceso Para el buen desarrollo de esta norma, se debe realizar un Análisis de Peligros y

Riesgos. Dicho análisis y evaluación de riesgos se deben llevar a cabo tanto en los procesos de instalaciones nuevas, como en instalaciones existentes donde se realicen modificaciones en su proceso o en aquellas que no cuenten con dichos análisis. Para poder realizar esta tarea se requiere una detallada información para identificar los peligros y causas potenciales de daño asociados al proceso. Se debe considerar el riesgo sobre el personal, medio ambiente, poblaciones circundantes, producción, equipos, e imagen corporativa de la empresa.

El objetivo de un análisis de riesgos es la identificación de los peligros del proceso, estimar su riesgo (frecuencia/consecuencia) y decidir si el riesgo es tolerable. Para reducir el riesgo a un nivel tolerable, primero deben aplicarse capas de protección no-SIS, en caso de no alcanzar un nivel de riesgo tolerable después de aplicar dichas capas, se requerirá implantar un sistema instrumentado de seguridad. En caso de precisar un sistema instrumentado de seguridad los resultados del análisis de riesgos deben constituir los datos de entrada para la determinación del nivel integro de seguridad objetivo (SIL) de las funciones instrumentadas de seguridad (SIF) identificadas. Este análisis por tanto incluye la identificación de las SIF que son necesarias para detectar un inminente daño y actuar para llevar el proceso a un estado seguro.


66

Una vez identificados los peligros y riesgos, se aplicará la tecnología y medidas adecuadas para eliminar el peligro, reducir sus consecuencias o reducir la ocurrencia del evento peligroso. El objetivo será alcanzar los límites del riesgo tolerable.

El Análisis de Peligros y Riesgos se hace varias veces durante las etapas de diseño del SIS. Comúnmente, el primer estudio se realiza en las etapas iniciales de la ingeniería del proyecto, un segundo estudio cuando se completan los diagramas de proceso e instrumentación (P&ID’s) y antes de empezar la ingeniería de detalle, y un tercero cuando la ingeniería de detalle está completa. Asimismo se recomienda hacerlo cuando se introducen cambios significativos y modificaciones en el proceso.

Existen diferentes métodos, cualitativos y cuantitativos, para la identificación de peligros, tales como HAZOP, “Que pasa sí”, FCMEA, árbol de fallo, etc., la técnica de identificación seleccionada dependerá de los propósitos perseguidos con la identificación de riesgos, así como de los datos y recursos disponibles. El método HAZOP se presenta como una de las técnicas más rigurosas y estructurada para la identificación de los peligros asociados a una planta de proceso. En el capítulo 7.2 Métodos de Identificación y Análisis de Riesgos se presentan diferentes metodologías de Análisis de Riesgos de Procesos (PHA’s), centrándose especialmente en la metodología HAZOP.

A título de información la norma IEC 61511 parte 3, recoge diferentes métodos de análisis de riesgos útiles para encontrar el valor objetivo SIL.

7.1.4 Aplicación de capas no-SIS El objetivo del diseño de proceso es obtener una planta inherentemente segura, dónde

los riesgos residuales puedan ser controlados mediante la aplicación de capas de protección no-SIS, capas de mitigación. La reducción del riesgo mediante la selección cuidadosa de parámetros operacionales básicos del proceso constituye una pieza clave en el diseño de un proceso seguro.

Una vez se tienen identificados los eventos peligrosos y sus riesgos asociados cuantificados, se realiza una evaluación para determinar si se han provisto todos los niveles adecuados de protección, excepto el SIS, para la reducción del riesgo tales como controles básicos, alarmas de proceso, supervisión por el operador, alarmas críticas operaciones manuales, enclavamientos, válvulas de alivio, etc. En este punto se evalúan todos los niveles de protección que se han aplicado y, si queda un riesgo inaceptable latente, se aplicará un SIS para llevar el riesgo a un nivel aceptable. El SIS se aplica cuando han sido consideradas todas las medidas de reducción de riesgo a través del uso de otros dispositivos distintos del SIS.

Cada capa de protección adicional consiste de un conjunto de equipos y/o controles administrativos, que interactúan con otras capas de protección, controlando de esta manera el riesgo.

7.1.5 Criterios para determinar la necesidad de un SIS En este punto es necesario verificar todos los datos obtenidos hasta el momento. Si

los riesgos pueden estar controlados dentro de un nivel aceptable (nivel a determinar por los responsables de la planta) sin que sea necesario aplicar un SIS, entonces el proceso de diseño en cuanto a SIS finaliza en este punto. Si, por el contrario, los riesgos no pueden ser controlados a un nivel aceptable mediante la aplicación de capas de seguridad no instrumentadas, entonces se requerirá un SIS.


67

Algunas empresas utilizan la tabla siguiente, como clasificación de consecuencias:

Nivel del impacto del

evento Consecuencias

Frecuencia objetivo

tolerable por año

Menor Impacto inicialmente limitado a un área local del evento con un potencial para una consecuencia más amplia si no se toman acciones correctivas. Fugas dentro de barreras de contención cuyas consecuencias al ambiente son conocidas (ruido, olores, impacto visual detectable, derrame externo controlable en un día)

1.0 x 10-3

Severa Es aquella consecuencia que podría causar cualquier lesión o fatalidad seria en el lugar o fuera de él, o bien un daño a la propiedad económico tanto dentro (1 M $) como fuera (5 M $). Fugas fuera de los límites sine efectos adversos (el derrame externo se puede controlar en pocos días)

1.0 x 10-4

Catastrófico

(Extensiva)

Es aquella consecuencia que es 5 o más veces severa que un accidente de consecuencias SEVERAS. Fuga fuera de los límites de contención con efectos adversos (derrame no controlable en pocos días)

1.0 x 10-5

Como podemos ver es un poco ambigua, y queda siempre bajo el criterio de los responsables de planta el decidir qué tipo de riesgo consideran aceptable y por tanto no precisa de un SIS. Pero resumiendo, podemos concluir que con la información de la magnitud de la consecuencia, la probabilidad de que ocurra un evento peligroso y el nivel de riesgo que puede tolerar la empresa, se determina el uso del SIS.

7.1.6 Selección del SIL objetivo Asumiendo que es necesario aplicar un SIS, entonces deberán establecerse los

requerimientos del mismo definiendo el Nivel de Integridad de Seguridad (SIL). El SIL define el nivel de desempeño que se requiere para cumplir los objetivos de seguridad del proceso establecidos por el usuario, es decir establece el nivel de seguridad que se exige a las funciones de los sistemas instrumentados de seguridad. La norma IEC 61511 establece 4 niveles SIL, mientras que la ANSI/ISA S84.01 establece solo 3 (tabla 7.1.6.1). Cuanto mayor es el índice SIL mayor es el requerimiento de disponibilidad de la función de seguridad del SIS.

La asignación del nivel SIL a una función, es una decisión corporativa basada en una filosofía de gestión de riesgos y de su tolerancia.

Existen varios métodos para determinar el índice SIL a aplicar a cada función de seguridad. La aplicación de cada una de las metodologías deben incluir personal multidisciplinar apropiado, es decir representantes del sector operación, mantenimiento, ingeniería, seguridad y gerencia del riesgo, y cualquier persona que se crea oportuno. Los métodos usados para la selección del SIL consideran en general la consecuencia, la probabilidad de la consecuencia, la capacidad de los niveles de protección para reducir o disminuir la frecuencia de la consecuencia y la frecuencia aceptable de la consecuencia.


68

Como siempre es fundamental tener unos buenos procedimientos para diseño de control, operación y mantenimiento para realizar un mejor desempeño del sistema de seguridad. El capítulo 7.3 Asignación del SIL objetivo se presenta de una manera más explícita este asunto.

Tabla 1 Clasificación de la reducción de riesgo. Índice SIL

SIL PFDavg RRF

4 10-4 -> 10-5 10000 -> 100000

ISA

84

.01

3 10-3 -> 10-4 1000 -> 10000

2 10-2 -> 10-3 100 -> 1000

1 10-1 -> 10-2 10 -> 100

Tabla 7.1.6.1 Índice SIL según IEC 61511

7.1.7 Especificaciones de Requerimientos de Seguridad, SRS Una vez identificados y caracterizados todos los peligros potenciales con los riesgos

que suponen y han sido establecidos los niveles SIL de cada SIF es necesario desarrollar las Especificaciones de los Requisitos de Seguridad, documento donde se recogen todos los esfuerzos y resultados de la fase de Análisis de SLC1. Este es un documento en el que se establecen los requerimientos de integridad y funcionales del SIS. No hay reglas generales que puedan aplicarse en forma global. Cada función de seguridad debe tener un requerimiento de SIL asociado, así como los requerimientos de confiabilidad para disparos en falso.

Los documentos SRS nos dan exactamente que se requiere para diseñar, instalar, y operar incluyendo el mantenimiento, el sistema instrumentado de seguridad de acuerdo con la fase de análisis del SLC. El sistema se programará y verificará de acuerdo a la lógica determinada en este punto. Si se comete un error o ambigüedad, este será trasladado a través de todo el resto del diseño. Estos errores se conocen como errores sistemáticos. No importa cuántas veces se verifique, ni cuanta redundancia tenga el sistema, en algún momento el sistema no responderá a una demanda asociada a ese error.

Por tanto como objetivo esta etapa tiene el especificar todos los requerimientos del SIS necesarios para el desarrollo de la ingeniería de detalle y la información de la seguridad del proceso. Para ello identificará y describirá las funciones instrumentadas de seguridad, documentará el SIL, documentará las acciones a tomar - lógica, diagramas causa-efecto, etc. -, Documentará parámetros asociados – tiempo, requerimientos de mantenimiento y bypass, etc.-. Este punto está ampliamente desarrollado en el capítulo 7.4 Especificaciones de Requerimientos de Seguridad.

7.1.8 Fase “Implementación” del Ciclo de Vida de Seguridad SIS La fase de implementación (realización) de ciclo de vida de seguridad engloba el

diseño, fabricación, instalación y test de prueba del Sistema Instrumentado de Seguridad

1 Ciclo de Vida de Seguridad. También lo podemos encontrar con el acrónimo CVS


69

que se especificó en la fase de análisis del proyecto. La fase de implementación (realización) no puede ser ejecutada apropiadamente si la especificación no ha estado correctamente y con claridad desarrollada a partir de los resultados de la fase análisis, la primera fase del ciclo de vida. La figura 7.1.8.1 Fase "Implementación" del Ciclo de Vida de Seguridad SIS nos presenta el diagrama de flujo de la información y funciones individuales necesarias para ejecutar la fase de realización de una manera efectiva.

Esta fase junto con el detalle de las especificaciones de los requerimientos de seguridad englobaría lo que se denomina especificación, diseño e ingeniería del SIS.

Figura 7.1.8.1 Fase "Implementación" del Ciclo de Vida de Seguridad SIS

7.1.9 Ingeniería y diseño del SIS En este apartado se cubrirá el diseño conceptual y el diseño detallado del SIS. Todo

diseño conceptual propuesto debe ser analizado para ver si alcanza los requerimientos funcionales y de integridad (SIL meta objetivo deseado). Se trata de realizar la verificación del SIL de las funciones instrumentadas aceptadas o propuestas en el diseño conceptual. El diseño de detalle partirá de la base del diseño conceptual y documentará la fabricación real del sistema. Una vez se ha elegido el diseño se debe realizar la ingeniería y la construcción siguiendo todos los procedimientos de diseño. Todo el proceso requiere de una documentación completa para que pueda ser entendible y auditable por un ente independiente a fin de verificar el sistema.

El diseño conceptual y de detalle del SIS será tratado de una manera más explícita en el capítulo 7.5 Ingeniería y diseño del SIS. Como el diseño conceptual y el diseño de


70

detalle muchas veces no quedan bien definido donde está la frontera entre ambos las compañías en sus estándares suelen referirse a ingeniería y diseño del SIS. De hecho es como se refiere en la norma IEC61511 en el ciclo de vida (Cláusulas 11 y 12) (figura 7.1.1 Ciclo de vida de Seguridad SIS según IEC 61511. Capítulo 7.1 Ciclo de Vida de Seguridad).

7.1.9.1 Diseño conceptual del SIS

Una vez se tiene en mano las especificaciones de requerimientos de seguridad obtenidas en la fase de Análisis, la primera tarea que hemos de realizar es la selección de la tecnología a utilizar por el sistema instrumentado de seguridad y la arquitectura que utilizaremos para lograr los requerimientos de seguridad y operación del SIS. Esto incluye el procesador lógico, con sus unidades de entrada y salida, sensores y elementos finales de campo. La gerencia, deberá dirigir el diseño conceptual al mismo tiempo que planifica como puede ser probado y verificado el sistema para asegurar que logra las especificaciones antes de poner el sistema en un uso activo. Un punto clave de esta tarea esta en desarrollar un mantenimiento y planificación de un intervalo de prueba de funcionamiento (proof test) para asegurar que se puede encontrar y reparar cualquier fallo potencial no detectado en el equipo de seguridad antes de que el sistema requiera su actuación. La forma de realizar la prueba funcional o test y la frecuencia debe ser cuidadosamente estudiada ya que afecta al valor SIL del sistema (capítulo 7.5.12 Mantenimiento y pruebas funcionales).

En todo momento hemos de obtener información de confiabilidad y seguridad cuando seleccionamos tecnología y arquitectura del sistema.

7.1.9.2 Diseño de detalle del SIS

El propósito de esta etapa es finalizar y documentar el diseño conceptual. Una vez que se ha elegido el diseño, el sistema debe ser construido siguiendo procedimientos estrictos y buenas prácticas de ingeniería, para evitar errores en el diseño e implantación. En esta etapa el diseño debe ser programado y probado (pruebas FAT1) de acuerdo a la lógica determinada, cualquier error cometido durante esta etapa influirá en el resto del diseño.

Una vez que se completa la ingeniería de detalle es aconsejable efectuar un estudio FMEA (Análisis de Causas y efectos de Fallos) para verificar que todas las causas posibles de fallos han sido consideradas, además hay que verificar que el diseño final es capaz de realizar las tareas asignadas. El objetivo del FMEA es verificar el comportamiento e integridad del SIS ante fallos causados por fallos encubiertos, como así también reconocer la respuesta del SIS a fallos descubiertos.

7.1.10 Verificación del SIL Una vez que se ha desarrollado el diseño conceptual del SIS, se ha seleccionado la

arquitectura del sistema y sus componentes, debe calcularse nuevamente el SIL que obtiene la función instrumentada de seguridad en base a la velocidad de fallo de los componentes (PFDavg, RRF, MTTFspurious) y al intervalo de test (proof test) definido. De

1 FAT (Factory Acceptance Test). Pruebas funcionales de la programación del SIS antes de su

instalación.


71

esta forma nos aseguramos que el diseño conceptual cumplirá con el SIL objetivo y por tanto con la especificación de requerimientos de seguridad.

El diseño conceptual del SIS y la verificación del SIL objetivo establece los parámetros para el diseño de detalle del sistema, es un punto clave en el cronograma de obra del proyecto que requiere aprobación y por tanto un paso o etapa de revisión1 antes de continuar con nuevas fases (ver Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida. Capítulo 6.2,2).

Si la verificación de la función instrumentada de seguridad muestra que el SIL requerido no se ha logrado mediante el diseño propuesto, hay que rediseñar alguna o todas las partes que componen el SIF. Existen varias opciones como:

• Disminuir el requerimiento del SIL mediante la adición de otras capas independientes de protección.

• Reducir el intervalo de pruebas periódicas, lo cual puede implicar la necesidad de pruebas en línea y pruebas parciales.

• Escoger equipos con mejores características de seguridad. Menor tasa de fallos, mejores diagnósticos, etc.

• Cambiar la arquitectura añadiendo redundancia.

La verificación del SIL será tratado de una manera más explícita en el capítulo 7.6 Verificación del Nivel Integrado de Seguridad (SIL).

7.1.11 Pruebas de Aceptación de Fábrica (FAT) En esta etapa el sistema de control de seguridad y toda la lógica de control debe ser

completamente probado antes de ser enviado por el proveedor a la planta final. Todos los individuos involucrados en la implementación y verificación del sistema bajo prueba deben participar en la pruebas FAT. Estas pruebas son completadas en el lugar de fabricación previo al envío al usuario final.

Las pruebas FAT son tratadas de una manera más explícita en el capítulo 7.7 Pruebas de Aceptación de Fábrica (FAT).

7.1.12 Instalación y Comisionado En esta etapa, se debe asegurar que el sistema sea instalado de acuerdo al diseño y se

opere de acuerdo a la especificación de los requisitos de seguridad. Antes de que el sistema sea llevado a su emplazamiento debe ser probado hasta su correcta operación, una vez emplazado se debe verificar que el sistema esté de acuerdo al diseño detallado incluyendo los dispositivos de campo. Esto es, entre otras, determinar que el equipamiento, dispositivos y cableado están correctamente instalados y en funcionamiento, que las fuentes de energía redundantes son correctas y están en funcionamiento, que todos los instrumentos están debidamente calibrados (los que lo requieran), y que todos los lazos están probados y son operativos.

Asimismo deben llevarse a cabo las pruebas de pre-arranque y aceptación del sistema (PSAT). Se debe elaborar un procedimiento que dicte los pasos a seguir para la instalación detallada de cada función. La norma IEC 61511 después de la instalación recomienda

1 Etapa 2 de revisión y validación recomendada por IEC 61511.


72

realizar una verificación y validación del sistema instalado, documentada en la etapa 3, ya que esta fase de proyecto es un punto clave y requiere aprobación (ver Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida. Capítulo 6.2,2).

Como el SIS es un sistema que funciona bajo demanda, las fallas latentes que en un sistema de control continuo son rápidamente detectadas, no son fácilmente descubiertas, por lo que continuas inspecciones durante la instalación son recomendadas para detectar problemas en forma temprana, y evitar así errores una vez este el sistema en operación.

Instalación y comisionado son tratados de manera más explícita en el capítulo 7.8 Instalación y Comisionado.

7.1.13 Fase “Operación” del Ciclo de Vida de Seguridad SIS La fase de operación es la fase más larga del SCL, empieza con el arranque de la

planta y continúa hasta que se desmantela, decomisiona o se reorganiza. La parte más significativa de esta fase es el mantenimiento y el test de los equipos y lazos del sistema instrumentado de seguridad, ya que la filosofía de test afecta al logro del índice SIL meta. Un eficaz régimen de test y mantenimiento empieza con un buen procedimiento y con una documentación sólida que permita mostrar que el plan de pruebas está siendo seguido. También es importante una eficaz MOC (gerencia del cambio) que sea capaz de dirigir eficazmente cualquier modificación del sistema de seguridad que se demande durante el ciclo de vida.

El ciclo de vida finaliza con el decomisionado. Antes de parar el equipo, la compañía, organización debe analizar los efectos del decomisionado de los equipos y procesos bajo control.

Figura 7.1.14.1 Fase "Operación" del Ciclo de Vida de Seguridad SIS


73

7.1.14 Operación y Mantenimiento En cualquier momento del ciclo de vida, previo a la puesta en marcha del sistema, se

deben redactar y establecer los procedimientos de Operación y Mantenimiento del SIS que han de ser aprobados y operativos antes de la puesta en marcha.

La ingeniería de detalle del sistema debe incluir la planificación de las tareas de mantenimiento y test del sistema durante toda su vida útil. Las pruebas de test son muy importantes ya que su realización periódica permite detectar fallos latentes en el SIS. Es importante realizar un buen estudio del mantenimiento a realizar ya que cualquier tarea de mantenimiento que demande ser realizada con el sistema parado significa un costo importante por pérdida de producción. Ninguna planta puede funcionar con su sistema de seguridad fuera de línea. Si el mantenimiento se hace en línea debe planificarse adecuadamente para evitar que durante ese tiempo la seguridad este limitada o disminuida.

Como podemos ver en el Ciclo de Vida basado en la norma IEC 61511 (figura 7.1.3. Capítulo 7.1) los procedimientos de operación y mantenimiento del SIS deben estar listos antes de la prueba preliminar y revisión final de seguridad y aceptación del sistema en planta (Paso 4. Pre Start Safety Review), etapa 3 (revisión de seguridad recomendada por IEC 61511) (ver Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida. Capítulo 6.2,2).

Estos procedimientos son importantes para mantener la integridad y seguridad del SIS. Deben incluir detalles de cómo operar y mantener el SIS, procedimientos alternativos de operación del SIS en una condición de disminución de seguridad, procedimientos de bypass y reset1, procedimientos operativos en condiciones normales y de emergencia, procedimientos de mantenimiento en condiciones normales incluyendo pruebas de test, mantenimiento preventivo, repuestos y procedimientos para la administración de cambios. Todo personal de ingeniería, operación y mantenimiento debe estar entrenado para utilizar dichos procedimientos.

La revisión de seguridad previa a la puesta en servicio (Paso 4 del ciclo de vida (PSSR-Pre Start Safety Review), tabla 6.2.2.1) incluye:

• Verificación de que el SIS ha sido construido, instalado y probado de acuerdo con la especificación de requerimientos de seguridad.

• Procedimientos pertinentes al SIS para seguridad, operación, mantenimiento. Administración de cambios y emergencia están terminados y son adecuados para la función.

• Verifica que las recomendaciones del análisis de peligrosidad y riesgos del proceso han sido aplicadas al SIS.

• El entrenamiento de los operadores ha sido completado e incluye información adecuada sobre el SIS.

Esta revisión es un estudio funcional del SIS y una inspección completa del SIS con el fin de demostrar que cumple con los requerimientos de la especificación de diseño y asegurar así su integridad y por tanto validar el sistema instrumentado de seguridad.

Toda esta tarea debe estar perfectamente documentada, aprobada, archivada y perfectamente trazable para referencia futura.

1 Desviación y reestablecimiento.


74

Una vez terminada la validación del sistema puede ser puesto en operación. Si el SIS un día opera por una demanda verdadera o falsa, debe efectuarse un análisis para determinar la causa y si el SIS ha operado según lo previsto.

El personal de operativa y mantenimiento de planta han de conocer y entender cómo opera el SIS para evitar que se tomen acciones que puedan resultar comprometidas para el proceso y para el SIS.

Operación y mantenimiento son tratados de manera más explícita en el capítulo 7.9 Operación y Mantenimiento.

7.1.15 Modificaciones del SIS Los cambios en las condiciones del proceso, ampliaciones de planta, etc. que van

surgiendo son susceptibles de introducir cambios en el sistema de seguridad. Todos los cambios requieren un retorno a la fase del ciclo de vida de seguridad adecuada. Por lo tanto requeriremos de una actualización del sistema de acuerdo a la necesidad.

Se debe determinar cuáles son los test que se llevaran a cabo para certificar que no se ha comprometido la integridad del SIS. Irá dirigido por la gerencia del cambio, MOC (Management Of Change).

En el apartado 7.10 Modificación del SIS se ampliará la información.

7.1.16 Desmantelamiento del SIS El desmantelamiento del SIS, ya sea por cese de la producción, cambios del proceso

o cambio del propio SIS debe seguir un proceso de revisión para garantizar que el decomisionado del SIS no impacta al proceso o unidades circundantes y que existen los medios necesarios para proteger al personal, equipos y medio ambiente durante el desarrollo del desmantelamiento. Esto significará el desarrollo de un procedimiento y de la obtención de aprobaciones por escrito de las personas responsables.

Es muy importante poner énfasis en el seguimiento al pie de la letra del ciclo de vida de seguridad y deben de respetarse los procedimientos para la gerencia del cambio para asegurar la integridad de seguridad del SIS, ya que si bien se pone mucho énfasis en el diseño del SIS hay que recordar que este puede estar en operación un largo periodo de tiempo, más de 20 años, y durante este periodo se realizan multitud de cambios.

Bibliografía y referencias: [1] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.


[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries, The Instrumentation, Systems, and Automation Society, 2004.




75

7.2 Métodos de Identificación y Análisis de Riesgos de Procesos (PHA’s)

7.2.1 Marco legislativo La legislación básica de referencia en Europa en cuanto a la prevención de accidentes

graves en los que intervienen sustancias peligrosas la constituye la Directiva 96/82/CE del Consejo, de 1996, conocida como Seveso II, el ordenamiento jurídico español recoge esta normativa mediante el RD. 1245/1999, de 16 de julio, por el que se aprueban las medidas de control de riesgos inherentes a los accidentes graves que intervengan sustancias peligrosas y el RD. 948/2005 que modifica el RD. 1245/1999.

Existe también una Directriz Básica para la elaboración y Homologación de los Planes Especiales del Sector Químico, RD. 1196/2003, donde se establece, entre otros, las zonas de objeto de planificación denominadas Zona de Intervención (ZI) y Zona de Alerta (ZA), así como los valores umbrales de daño para cada una de las tipologías distintas de consecuencias que marcan la delimitación de estas zonas. También indica las bases para la correcta organización de las emergencias derivadas de accidentes, estableciendo los contenidos mínimos de los Planes de Emergencia Interior (PEI) y los Planes de Emergencia Exterior (PEE).

Otro documento, aunque no de obligado cumplimiento al no estar transpuesto por la legislación española y perteneciente a OHSA1 es la CFR 1910.119 “Process safety management of highly hazardous chemicals”, normativa de obligado cumplimiento en EEUU, y de referencia en el resto del mundo y adoptada por diferentes compañías multinacionales.

De acuerdo con el contenido de Seveso II (RD. 1254/1999), no es necesario ni hay la obligatoriedad de hacer un análisis de riesgos como tal. Ahora bien, las empresas afectadas por este marco legislativo tienen la obligación de presentar un Informe de Seguridad con el fin de:

• Demostrar que se ha establecido la Política de Prevención de Accidentes Graves y se ha establecido un Sistema de Gestión de Seguridad.

• Demostrar que se han identificado los peligros de accidentes graves y que se han tomado las medidas necesarias para su prevención, y en caso de ocurrir, la limitación de sus consecuencias.

• Demostrar que el diseño, la construcción, la explotación y el mantenimiento de toda la instalación, presenta seguridad y fiabilidad suficientes.

• Demostrar que se dispone del Plan de Emergencia Interior y que se ha facilitado toda la información necesaria para el Plan de Emergencia Exterior.

• Proporcionar información a las autoridades para que puedan desarrollar políticas de ordenación y usos del suelo, teniendo en cuenta las distancias de seguridad entre empresas afectadas y elementos vulnerables.

• En caso de que la seguridad pueda ser afectada por el efecto dominó, colaborar para su gestión adecuada.

1 OHSA: Occupational Safety and Health Administration, Administración de Seguridad y Salud

Ocupacional emitida por el Departamento de Trabajo de los Estados Unidos


76

Para la elaboración del Informe de Seguridad, el industrial deberá tener en cuenta los requisitos e información recogidos en la Directriz Básica para la Elaboración y Homologación de Planes de Especiales del Sector Químico.

Por otra parte, la Dirección General XI de la Comisión Europea ha elaborado una guía para la preparación del Informe de Seguridad que cumpla con los requisitos de la Directiva Seveso II.

Como aspectos novedosos que contempla esta guía y que no se encuentran en la Directriz Básica, se deben destacar los siguientes:

1. Información sobre el sistema de gestión y la organización, con vistas a la prevención de accidentes graves.

2. Entorno de la industria

• Descripción y análisis de la vulnerabilidad de los elementos sensibles del entorno de la planta, industria (medio ambiente, servicios públicos, lugares de pública concurrencia, etc.)

• Identificación y análisis de elementos externos que puedan agravar el riesgo de la planta, industria (riesgo natural, actividades industriales, transportes de mercancías peligrosas, etc.)

3. Descripción de la instalación

Descripción de las principales instalaciones, equipos y actividades relevantes desde el punto de vista de la seguridad de las fuentes de riesgos de accidentes graves, las condiciones en las que se pueden producir estos accidentes, así como las medidas preventivas y mitigadoras previstas. Para lo que contará con el estudio de los siguientes aspectos:

• Estudios de los procesos, operaciones básicas y reacciones químicas que puedan en una situación no controlada, originar un accidente.

• Ingeniería de procesos y sistemas de seguridad.

• Procedimientos de operación en diferentes fases de la actividad (operación normal, parada de emergencia, arranque y paro, etc.).

• Diseño e ingeniería de equipos y sistemas que procesan o almacenan sustancias peligrosas (materiales, pilotajes, estanqueidad, equipos a presión, etc.).

• Sistemas de corrección y tratamiento de residuos y contaminantes, tanto en operación como en emergencias.

4. Identificación y análisis de los riesgos de accidente y medios preventivos El alcance del Informe de Seguridad amplía su ámbito en los siguientes aspectos.

• Identificación de fuentes de riesgo de todo tipo:

− En distintas fases de la actividad (diseño, ingeniería, montaje, explotación, cese de actividad, etc.).

− Fallos o desviaciones en las condiciones normales de proceso.

− Fuentes de riesgo externas.

− Seguridad de la planta (intrusismo, sabotaje, etc.).


77

• Evaluación de las consecuencias, teniendo en cuenta la finalidad que tiene el Informe de Seguridad como elemento de prueba de idoneidad de las medidas de seguridad adoptadas por la empresa, por lo que podría requerirse la realización de un análisis de riesgos detallados (p.ej. HAZOP1)

5. Medidas de protección e intervención para limitar las consecuencias de un accidente.

De la identificación y análisis de riesgos, se deberá inventariar las medidas y sistemas de seguridad adoptados, determinando su fiabilidad, redundancia, operatividad, etc., de forma que se demuestre a la autoridad competente su idoneidad.

El industrial afectado deberá demostrar que los Planes de Emergencia Interior son adecuados y deberá considerar los siguientes aspectos.

• Organización, responsabilidades y procedimientos de respuesta ante emergencia.

• Información y formación recibida por el personal implicado en una emergencia.

• Instalaciones o dependencias donde es necesario la protección o el rescate.

• Plan de evacuación.

• Procedimiento de parada de instalaciones.

• Descripción de los recursos movilizables (internos y externos).

Se ha de indicar que el uso de la guía para la preparación del Informe de Seguridad es una recomendación voluntaria, no siendo obligatorio su seguimiento.

Por lo que, aunque el RD. 1254/1999 (transpuesto de Seveso II) no recalca la necesidad de realizar un análisis de riesgos, el hecho de obligar a demostrar que se han identificado los peligros de los accidentes graves, así como la obligatoriedad de implantar un Sistema de Gestión de Seguridad, hace que en la práctica y para determinadas instalaciones, no solo sea beneficioso, sino casi obligado la realización de estudios y análisis de riesgos.

La normativa estadounidense, la CFR 1910.119 “Process safety management of highly hazardous chemicals” también tiene como propósito establecer los requerimientos necesarios para la prevención y minimización de consecuencias de fugas catastróficas de productos químicos tóxicos, inflamables y reactivos que puedan causar daño. Para las instalaciones afectadas la norma obliga lo siguiente:

1. Desarrollar un Análisis de Riesgos de Procesos (PHA), que identificará y evaluará los riesgos derivados del proceso

2. Utilizará una de las siguientes metodologías para determinar y evaluar los riesgos del proceso: What-if, Check list, HAZOP (HAZard and OPerability study), Fault Tree Análisis (FTA), FMEA (Failure Mode and Effects Análisis).

3. El PHA considerará los riesgos del proceso, la identificación de incidentes que puedan tener consecuencias catastróficas, las medidas administrativas, las técnicas instaladas para la detección de posibles fugas, posibles procedimientos, interlocks, etc.

1 HAZard and OPerability Method. Método sistemático de análisis de riesgos y operabilidad.


78

4. El PHA se desarrollará por un equipo de expertos en ingeniería y procesos, así como por personal propio de la planta con experiencia y conocimientos específicos del riesgo evaluado. Asimismo habrá un especialista que dirija en todo momento la conducción del PHA.

5. Se establecerá un mecanismo de forma que asegure que las recomendaciones de estudio son llevadas a cabo y las personas afectadas son informadas.

6. Cada 5 años el estudio debe ser revisado.

7. La empresa tiene la obligación de mantener al día el PHA de su Unidad. Cualquier modificación precisa un análisis de riesgos (Gestión de Cambios).

Así pues la CFR 1910.119 a diferencia de su homónima europea, Seveso II, si obliga a los industriales a realizar, desarrollar y mantener en estudio de Análisis de Riesgos (PHA) en sus instalaciones.

Bibliografía y referencias: [1] Curso: Análisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril

2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y Victoriano Macías (INERCO).

[2] REAL DECRETO 1254/1999, de 16 de julio, por el que se aprueban medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas. B.O.E. número 172, de 20 de junio de 1999.

7.2.2 Técnicas de Identificación de Riesgos y Análisis de Peligros Como se comentó en el capítulo 7, una vez el diseño conceptual del proceso está

definido, se pueden definir sus riesgos y peligros asociados. El identificar los riesgos y peligros de un proceso nos conduce a la correspondiente identificación de las Funciones de Seguridad, incluidas las funciones instrumentadas de seguridad (SIF) que son requeridas para reducir el riesgo inherente del proceso a un riesgo tolerable. Este capítulo trata de mostrar diferentes métodos de análisis de riesgos centrándose en el método HAZOP (HAZard and OPerability study), que probablemente sea el método más utilizado en plantas de proceso.

Nos encontramos en las primeras fases del ciclo de vida, concretamente en la fase de definición de diseño del proceso (figura 7.1.3 Ciclo de Vida de Seguridad SIS ejemplo, capítulo 7.1).

Figura 7.2.2.1 Fase Definición diseño de proceso


79

El objetivo que se pretende alcanzar usando estos métodos, está en reconocer las situaciones peligrosas en actividades en las que se manejan materiales que implican riesgos con el objetivo de revisar el diseño y establecer medidas correctoras o preventivas y por otro lado identificar posibles escenarios de accidentes, con el fin de evaluarlos y cuantificarlos. Un análisis de riesgos, desde el punto de vista de un Sistema Instrumentado de Seguridad, nos ha de facilitar el identificar las funciones instrumentadas de seguridad (SIF) y el nivel de integridad de seguridad (SIL) que deben llevar asociado. Una Función Instrumentada de Seguridad es la acción que un sistema instrumentado de seguridad toma para llevar un proceso a un estado seguro cuando se enfrenta a un peligro potencial.

Del análisis de riesgos hemos de obtener una descripción de los peligros, de las funciones de seguridad requeridas, y los riesgos asociados, incluyendo:

• Identificación de eventos que producen una situación de peligro así como los factores que contribuyen al evento peligroso.

• Consecuencias y probabilidad del evento.

• Condiciones de operación (arranque, situación normal de operación y paro).

• Reducción de riesgo necesaria para alcanzar la seguridad requerida.

• Asignación de las funciones de seguridad a las capas de protección.

• Identificación de las Funciones Instrumentadas de Seguridad (SIF).

Este ejercicio de identificar funciones no es tan fácil como a priori parece. Afortunadamente un análisis de riesgos y peligros nos dará información suficiente para determinar las posibles funciones de seguridad y las SIF’s.

La correcta identificación y análisis de riesgos permitirá tener una amplia visión de la seguridad propia de la instalación y nos permitirá eliminar aquellos puntos de riesgo no aceptables mediante un proceso iterativo de mejora y evaluación posterior de la instalación, hasta obtener un nivel aceptable de riesgo. En la figura 7.2.2.2. Evaluación predictiva del riesgo, se facilita un esquema general en la que se señala la secuencia normal de identificación y análisis de riesgos.

Figura 7.2.2.2 Evaluación predictiva del riesgo.


80

Existen diferentes técnicas o métodos de identificación de riesgos que las podemos separar en dos grupos fundamentales:

1. Métodos cualitativos: Tienen como objetivo establecer la identificación de los riesgos en el origen, así como la estructura o secuencia con que se manifiestan cuando se convierten en accidente. En ocasiones son preliminares y sirven como soporte estructural de los cuantitativos. Son el medio que se utiliza para determinar el SIL que se plantea como objetivo. Es un estudio realizado por expertos que examinan las frecuencias y consecuencias de los riesgos. Los objetivos de este tipo de análisis de riesgos son determinar la severidad de un evento peligroso, determinar la consecuencia de los eventos peligrosos, identificar aquellas desviaciones del proceso que puedan derivar en un evento peligroso, establecer una escala de gravedad de los eventos peligrosos y sus consecuencias basándose en la experiencia previa en procesos, en analogías con situaciones similares y base de datos de accidentes. Estos estudios deben hacerse partiendo de la base de que no se han aplicado capas de protección en el proceso, ni se han dispuesto dispositivos, activos o pasivos, para disminuir el riesgo.

Se tratan de técnicas de análisis crítico que no recurren al análisis numérico. Los métodos de análisis cualitativos más conocidos son:

• HAZOP. Estudio y análisis de Peligrosidad y Operabilidad.

• FMEA. Análisis Modal de Fallos y Efectos del proceso.

• Check List. Lista de verificación.

• What if?. Análisis ¿Qué pasa sí?

La única norma que obliga a realizar estudios de análisis de riesgos (CFR 1910.119 estadounidense) no indica, ni especifica que método se ha de escoger y permite al industrial seleccionar el método que se adecue mejor a su planta o a los conocimientos del personal de que dispone.

2. Métodos cuantitativos: Tienen como objetivo recorrer el trayecto de la evolución probable del accidente desde el origen (fallos en equipos, mala operación, etc.) hasta establecer la variación del riesgo con la distancia, así como la particularización de dicha variación estableciendo los valores concretos de riesgo para los sujetos pacientes (habitantes, casas, otras instalaciones, etc.) situados a distancias concretas.

Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de valores individuales de la probabilidad de fallo que corresponde a los elementos (equipos y humanos) implicados en los procesos industriales. Tienen como herramientas fundamentales la lógica matemática, estadísticas de frecuencia de ocurrencia de fallos y fiabilidad de equipos, y cálculos de probabilidades.

Los métodos de análisis cuantitativos más conocidos son:

• FTA. Fault tree Análisis (Análisis de Árbol de Fallos).

• Análisis mediante Árboles de Eventos.

• Análisis de Markov.


81

Como vemos hay un gran abanico de métodos para el análisis de riesgos y evaluación de peligros (PHA1) que pueden ser usados en plantas de procesos. El tipo a usar depende de la complejidad del proceso en estudio y de la experiencia que la organización tenga con el proceso y con el método a seguir. El método más popular y utilizado es el HAZOP (HAZard and OPerability study).

El estudio HAZOP constituye una de las técnicas de análisis de riesgos más estructurada para identificar los riesgos asociados a una planta de proceso. Trata de identificar las posibles desviaciones frente a las condiciones de diseño que pueden darse en una planta química.

El claro desarrollo de su metodología, su rigurosidad y su versatilidad en el campo de la industria química y petroquímica, hace que sea la técnica de análisis más utilizada en la industria de proceso.

7.2.3 Metodología HAZOP La metodología HAZOP se basa en la investigación de posibles desviaciones frente a

las condiciones de diseño para líneas y elementos pertenecientes a una determinada unidad de proceso tanto desde el punto de vista de la peligrosidad como de la operabilidad.

Peligro: cualquier acción que pudiera causar una pérdida catastrófica a la atmósfera de un producto químico tóxico, inflamable o explosivo o cualquier acción que pudiera causar daño a las personas. También se puede pensar en acciones que puedan causar daño a equipos críticos.

Operabilidad: cualquier operación dentro del diseño de planta que pudiera causar una parada que pudiese iniciar o conducir a una violación de las regulaciones de seguridad y de protección a la salud o al medio ambiente, o tener impactos económicos negativos.

El equipo que forma parte del estudio HAZOP sigue, dentro de un proceso de “brainstorming”, una estructura analítica por medio de un conjunto de palabras guía para examinar desviaciones de las condiciones normales de proceso en varios puntos clave (nodos) a lo largo del proceso. Estas palabras clave son aplicadas a los parámetros más relevantes del proceso (caudal, temperatura, presión, nivel, concentración, etc.) con el objeto de identificar las causas y consecuencias de las desviaciones de estos parámetros de los valores previstos. Finalmente, la identificación de consecuencias no deseadas o inaceptables da como resultado recomendaciones para mejoras del proceso.

El estudio permite determinar el SIL a través de la evaluación que hace el equipo de trabajo de las acciones del sistema de control, errores humanos, capas de protección utilizadas, etc. La selección del SIL depende de la experiencia y juicio del equipo de trabajo y tiende a focalizar más en las consecuencias que en las frecuencias.

El objetivo final que perseguimos con la utilización del método HAZOP es detectar cualquier suceso predecible e indeseable que pueda ocurrir en un proceso, tanto desde el punto de vista de seguridad como de operabilidad.

Por tanto podemos indicar que un HAZOP realiza un estudio sistemático y estructurado de la unidad, dividida en elementos de estudio (nodos), sobre los que se aplica las correspondientes desviaciones con ayuda de una serie de palabras guía y parámetros, para estas desviaciones se analizan posibles causas que se generan en dicho nodo.

1 PHA, Process Hazard Analysis


82

Finalmente para cada una de las causas se anotan las consecuencias a que darían lugar, las salvaguardias propias del sistema y finalmente las recomendaciones o comentarios que fuesen precisos.

A continuación se indican los términos más usados en la realización del método HAZOP:

Nodo: Punto específico del proceso (un equipo o una línea) en el que se evalúan posibles desviaciones del proceso.

Intención: Descripción de cómo se espera que se comporte el proceso en un determinado nodo.

Desviación: Forma en que las condiciones de proceso se alejan de su comportamiento esperado.

Parámetro: La variable relevante para la condición del proceso: p.ej. presión, temperatura, nivel, composición, pH, etc.

Palabra guía: Palabra que representa la desviación de la intención. Las más usuales son: no, más, menos, diferente de, parte de, inverso, y palabras clave como demasiado pronto, demasiado tarde, en lugar de, etc.

Causa: La razón o razones por las que podría ocurrir una desviación.

Consecuencias: Los resultados de la desviación en caso de que ocurra.

Salvaguardia: Instrumentos o protecciones del sistema que pueden ayudar a reducir la frecuencia de ocurrencia de la desviación o a mitigar sus consecuencias. Existen 5 tipos:

1. Medios destinados a detectar la desviación, p.ej. instrumentación de alarmas y detección o la supervisión por parte de los operadores.

2. Instalaciones que compensan la desviación, p. ej. Sistemas automáticos de control. Normalmente son una parte integrada dentro del control del proceso.

3. Instalaciones que previenen que ocurra una desviación, p. ej. inertizar un almacenamiento de productos inflamables.

4. Instalaciones que previenen un agravamiento de la situación como consecuencia de la desviación, p. ej. disparo de una actividad por medio de enclavamientos (podemos encontrar los SIS).

5. Instalaciones que alivian al proceso de la desviación peligrosa, p. ej. válvulas de seguridad (SV’s) y sistemas de alivio.

Recomendación: Actividades identificadas durante el análisis HAZOP para su seguimiento. Incluye propuestas de modificaciones, mejoras que afectan a sistemas de control (de señalización o de emergencia), condiciones de diseño de línea y/o equipos, etc.

Comentarios: Cualquier aclaración a hacer a las recomendaciones o a aspectos surgidos durante las sesiones HAZOP.


83

7.2.3.1 Procedimiento.

El procedimiento consiste en el estudio sistemático y estructurado de una instalación equipo por equipo y línea por línea, llevado a cabo por un equipo multidisciplinar (ingeniería, operación, mantenimiento, seguridad, inspección y otras disciplinas que sean necesarias) y liderado por un coordinador.

Esto se lleva a cabo mediante la aplicación de una serie de palabras guía (no, más, menos, parte de, inverso, de otra forma, más de, así como) a un conjunto de parámetros de proceso como pueden ser, caudal, temperatura, pH, nivel, concentración, presión, etc.

De la combinación de las palabras guía con cada uno de los parámetros se obtienen las desviaciones frente al comportamiento normal del proceso.

Precisar que el estudio debe comprender todos los estados o modos de funcionamiento de la Unidad, como operación normal, arranque y parada, por lo que los nodos deben elegirse de forma que con ellos queden englobados todos los modos de operación.

Establecidas las desviaciones, se investigan mediante un proceso inductivo las causas que pueden provocar esa desviación en el nodo en ese modo de operación.

Para esa causa, se investigan deductivamente las consecuencias posibles de la desviación, así como las salvaguardas que el proceso dispone para evitar la causa o mitigar las consecuencias, llegando a una de las siguientes posibilidades:

a) Las consecuencias no entrañan riesgo: descartar la consideración de esta desviación.

b) Las consecuencias entrañan riesgos menores o medianos: consideración de esta desviación en la etapa siguiente.

c) Las consecuencias entrañan riesgos mayores: consideración de esta desviación en la etapa siguiente.

Para aquellas consecuencias, que aun disponiendo de salvaguardias impliquen un riesgo, será necesario adoptar acciones correctoras o recomendaciones que de alguna forma palien la consecuencia o la causa. Las recomendaciones deben ser consensuadas entre el grupo de trabajo. El coordinador asignará el estudio de la recomendación a un miembro del equipo que será el encargado de contestarla e implantarla.

Finalmente, desviaciones, causas, consecuencias, salvaguardias y recomendaciones deben quedar por escrito en un formato tipo, como se indica en la siguiente figura 7.2.3.1. Modelo tabla HAZOP.

Unidad: Nodo: P&ID: Fecha:

Guideword: no or not more less as well as part of reverse

other than Hypothetical Deviation(s)

Cause(s) Consequence(s) Counter-measures

Open Points, By whom, when due Rev.

Figura 7.2.3.1 Modelo tabla HAZOP


84

Esta secuencia operativa deberá repetirse con todas las palabras guía, parámetros y desviaciones para cada nodo, y finalmente para todos los nodos de la unidad a analizar.

Una secuencia lógica de trabajo o un procedimiento general de HAZOP puede verse en la figura 7.2.3.2 HAZOP: Procedimiento general.

Figura 7.2.3.2 HAZOP: Procedimiento general

7.2.3.2 Puntos fuertes y débiles de la metodología HAZOP

Las principales ventajas que presenta la metodología HAZOP frente al resto de metodologías de análisis de riesgos, son las siguientes:

• Es un método analítico, estructurado y sistemático. Es un estudio completo y profundo del diseño y operación de la planta. La calidad de la revisión depende de la calidad del equipo de trabajo y su composición, habilidad y conocimiento del líder del equipo y la precisión de la documentación de seguridad de procesos.

• Como es un método desarrollado causa por causa, es altamente trazable y por tanto auditable.

• Al desarrollarse por un grupo multidisciplinar de profesionales, facilita la concurrencia de juicios sectoriales y distintos pero todos ellos implicados en el proyecto y operación de la planta. Asimismo suele constituir un único foro, durante toda la etapa de diseño y construcción de la Unidad.

• Permite volver atrás, de forma sistemática y controlada, si en un momento dado, se descubren nuevas desviaciones que pueden afectar a nodos ya analizados.

• Considera los elementos de la Unidad integrados en su conjunto, que es como se van a operar realmente, y no de forma aislada.

• Por su desarrollo estructurado, suele constituir la última verificación de las condiciones de diseño, adecuación del proceso y materiales de instalación previamente a su construcción.


85

• Evalúa las consecuencias de un error de operación. Aun cuando el HAZOP no es un reemplazo de un completo análisis de errores humanos, ayuda al equipo a identificar escenarios en los que un error del operador puede conducir a consecuencias serias. En las protecciones adicionales deben considerarse y garantizarse.

• Aumenta la eficiencia de la planta, el HAZOP ayuda a descubrir escenarios que pueden desembocar en paradas no programadas de planta, alarmas, daños en equipos, productos fuera de especificaciones, como también mejoras en la forma de operar la planta.

• Mejora la comprensión de los ingenieros y operadores acerca de la operación de la planta. A través del HAZOP se tiene acceso a una gran información de operación y diseño, y se comentan detalles de la planta que, en la operación diaria no se percibiría.

Se ha comentado que para llevar a cabo con éxito un HAZOP se necesita conformar un equipo de trabajo multidisciplinario con experiencia y dotes de planificación y, muy importante, que tengan un compromiso con la seguridad por parte de la gerencia de planta. Aun así ninguna técnica de análisis de riesgos, incluyendo HAZOP, es perfecta. Por lo que en cada método existen puntos débiles, en el estudio HAZOP son, entre otros:

• La calidad y contenido del resultado del análisis HAZOP depende mucho de los conocimientos, experiencia y compenetración del equipo de trabajo. Es necesario que en el equipo de trabajo estén los mejores expertos disponibles en la empresa de cada una de las disciplinas, pudiendo incluir contratación de personal externo para suplir una carencia de conocimiento.

• Como es una técnica sistemática y profunda requiere de mucho tiempo para su implementación. La administración de la planta debe comprender que es una tarea que requiere de tiempo y, por tanto, debe fijar plazos que permitan llevar a cabo un estudio completo. Plazos menores a los necesarios solo conduce a aumentar la probabilidad de fallos ocultos en operación.

• El estudio no puede desarrollarse durante un gran número de horas seguidas, ya que el agotamiento del equipo de trabajo, hace disminuir la calidad del trabajo.

7.2.3.3 Desarrollo del estudio HAZOP

Para el correcto desarrollo del estudio es básico tener una buena organización y planificación del mismo. Asimismo es necesario tener en cuenta que debe desarrollarse una vez la ingeniería de detalle del proceso está suficientemente avanzada como para prever que no habrá modificaciones importantes, pero con la antelación suficiente para no paralizar o retrasar la construcción de la unidad debido a la implantación de las recomendaciones. Cualquier cambio que sea implantado por la ingeniería de detalle debe ser estudiado por el HAZOP.

El coordinador del equipo HAZOP debe:

• Delimitar en todo momento y acordar con el jefe del proyecto el alcance del estudio HAZOP, tanto en cuanto a lo que se refiere a equipos e instalaciones, como a parámetros a incluir en el estudio.

• Debe seleccionar y controlar a un equipo que ha de verificar su disponibilidad para realizar el estudio.


86

• Planificar los días en los que habrá sesiones HAZOP y la duración de las mismas, informando al Jefe del Proyecto y a los miembros del equipo. Así como el lugar donde se realizarán las sesiones.

• Estimar el coste del estudio.

• Solicitar al Jefe del Proyecto toda la información necesaria que tendrá que estar disponible por cada miembro del equipo con suficiente antelación.

Como ya se ha comentado el personal del equipo de trabajo debe estar cuidadosamente elegido de manera que proporcione el conocimiento y experiencia apropiados a los objetivos del estudio y al desarrollo del proyecto. Es muy importante que las personas tengan amplios conocimientos en su campo, aunque no tengan experiencia en el desarrollo de estudios HAZOP.

Es importante que el equipo no sea excesivamente grande para que sea eficiente (aunque no siempre ocurra), lo ideal es tener un sólo representante de cada disciplina con suficientes conocimientos y capaz de tomar decisiones en cada momento. La selección del grupo de trabajo englobará de 4 a 7 personas.

La composición típica del estudio HAZOP es la siguiente:

• Coordinador del Estudio: generalista con experiencia en el método a emplear, en seguridad, en proyectos, y sobre todo en conducción de reuniones. Es un mediador.

• Secretario: persona con un perfil similar al del coordinador y que forma parte del equipo del coordinador, su cometido es:

− Reunir, ordenar y aportar la documentación de partida que se requiere para el estudio.

− Documentar el desarrollo de las reuniones, mediante actas.

− Manejar las herramientas informáticas que conducen, guían y auxilian el método escogido.

− Preparar la información resultante del estudio.

• Representante de Ingeniería de Proceso: con conocimiento profundo y detallado del proceso, a veces puede ser preciso la presencia del licenciatario del proceso.

• Representantes de Ingeniería de Proyectos involucrado en la ingeniería de detalle de la unidad. (Mecánica e Instrumentación y Control)

• Ingeniero de Operación: que conozca y tenga experiencia en la operación de la planta y proceso.

• Especialistas: cuando se requieran, p. ej. expertos en materiales, en medio ambiente, Ingenieros de Seguridad, Ingenieros supervisores de Mantenimiento, etc.

Es muy importante la independencia del coordinador del resto del equipo HAZOP con objeto de garantizar que la técnica es sistemática y rigurosamente aplicada.

Documentación necesaria para la realización del HAZOP:

• Descripción lo más detallada y completa del proceso, incluyendo:


87

− Termodinámica y cinética de la reacción.

− Posibles venenos de la reacción o catalizador.

− Posibles subproductos generados.

− Posibles variaciones de la corriente de entrada.

• Diagrama de proceso (PFD’s), de la Unidad.

• Balance de materia y energía.

• Diagramas de tuberías e Instrumentación (P&ID’s), de la Unidad y sus conexiones.

• Planos de implantación de los equipos de la Unidad y de esta en el resto del complejo.

• Planos de clasificación eléctrica de áreas con riesgo de incendio y explosión.

• Procedimientos de arranque y parada normal, de emergencia y de operación.

• Fichas de seguridad de las sustancias que se incluyen o pueden incluirse en el proceso.

• Descripción de la lógica de los sistemas de control.

• Descripción de los sistemas automáticos de enclavamientos.

• Informes de accidentes o incidentes en instalaciones similares.

• Hojas de especificaciones de equipos incluyendo:

− Bombas y Compresores: tipo, caudal, presión y temperatura de diseño, presión máxima, caudal máximo, material, etc.

− Hornos y Calderas: tipo, presión y temperatura de diseño y operación, calor intercambiado y material de los tubos y código de diseño, etc.

− Recipientes a presión: dimensiones, presión y temperatura de diseño y de operación, material, aislamiento y código de diseño.

− Recipientes atmosféricos y Silos: dimensiones, temperatura de diseño y de operación, material, aislamiento y código de diseño.

− Intercambiadores y Aero refrigerantes: tipo, dimensiones, presión y temperatura de diseño y de operación, material de los elementos (carcasa y tubos).

• Hojas de especificaciones de tuberías, bridas y accesorios.

• Hojas de especificaciones de los instrumentos.

• Lista de válvulas de control y su hoja de especificaciones y técnica.

• Lista de válvulas de seguridad, discos de ruptura y tapas de fuego junto con sus especificaciones:

− Sistema sobre el que descarga.

− Presión de disparo.

− Causa para la que ha sido diseñada y causas para la que ha sido comprobada.


88

− Caudal, Peso molecular o densidad, y temperatura de fluido de diseño y comprobación.

Selección de sistema y nodos de estudio Previamente al inicio de las sesiones, y una vez acordado el alcance del estudio, es

tarea del coordinador la delimitación y subdivisión de la instalación en Sistemas y Nodos.

Un sistema se define como una parte o sección de una Unidad, normalmente los P&ID’s ya están divididos por sistemas. Así en una planta de “craqueo” o en un proceso químico podemos encontrar algunos de los siguientes sistemas: Tratamiento de Alimentación, Unidad de secado, Reactores, Hornos, Columnas de destilación (Depropanizador, Deeteanizador, etc.), Compresores, Regeneración del catalizador, sistema antorcha, etc.

En cambio un nodo se entiende como un punto específico del proceso (un equipo o una línea) en el que se evalúan posibles desviaciones del proceso. Es posible tomar como nodo la unión línea + bomba + recipiente para mantener la continuidad del estudio. Existe la posibilidad que un equipo pertenezca a más de un nodo, ya que hemos de tener en cuenta los modos de operación de la instalación. En la siguiente figura 7.2.3.3 Nodos y modos de operación, se representa lo anteriormente explicado.

Figura 7.2.3.3 Nodos y modos de operación

NODO1: Recipiente V-3000 en operación de secado (línea verde)

NODO2: Recipiente V-3000 en operación de regeneración adsorbente (línea negra)

NODO3: Recipiente V-3000 en paso secado/regeneración

NODO4: Recipiente V-3000 en paso regeneración/secado

Vemos que un mismo equipo tiene diferentes nodos de estudio, esto hace que el HAZOP sea largo y laborioso. No se ha de caer en la tentación de realizar nodos amplios (como sistemas) pues desvirtúa todo el estudio.

La utilización del HAZOP por industrias químicas y petroquímicas en instalaciones de cierta envergadura ha pasado a ser obligado por parte de las mismas compañías.

Aplicación de palabras guía para la generación de desviaciones Antes de entrar a examinar detalladamente cada sección del proyecto, es conveniente

que un miembro especialista del equipo haga el resumen de las funciones de cada unidad, incluyendo las condiciones normales de proceso y sus especificaciones si están disponibles, así aseguramos que todo el equipo conoce el proceso objeto de análisis. A


89

partir de aquí se aplicarán las palabras guía y los parámetros establecidos y acordados a cada nodo, con el propósito de generar desviaciones del proceso sobre todas las variables posibles.

Así en la siguiente tabla se muestra un ejemplo de un listado de desviaciones que se aplica comúnmente a todos los HAZOP’s.

PALABRA GUÍA PARÁMETRO DESV IACIÓN

No Flujo No Flujo

Inverso Flujo Flujo inverso

Más Flujo Más Flujo

Menos Flujo Menos Flujo

Diferente Flujo Flujo diferente

No Nivel No hay nivel

Más Nivel Nivel más alto

Menos Nivel Nivel más bajo

Más Temperatura Temperatura más alta

Menos Temperatura Temperatura más baja

Etc.

Análisis de causas y consecuencias de las desviaciones Esta es la etapa creativa del procedimiento. Se debe reconocer las posibles causas y

consecuencias de cada una de las desviaciones generadas por las palabras guía. Esta etapa del procedimiento deberá ser minuciosa y exhaustiva, allí donde se haga una provisión que anule alguna contingencia, se preguntará si la contingencia es adecuada: ¿Es suficiente una simple válvula anti-retorno?, ¿Será necesaria una alarma de nivel alto además de disparo?, etc.

Es muy importante que los integrantes del equipo de trabajo y la capacidad de dirección del líder ayuden a analizar las posibles causas que provocan una desviación, pero solo aquellas que se consideren creíbles, adecuadas y factibles para evitar pérdida de energía y tiempo en discusiones que no llevarán a ninguna solución practicable.

Es necesario e importante considerar las desviaciones que son producidas por las siguientes causas:

• Un error humano de una actividad recogida o no en los manuales de operación.

• Dos errores humanos simultáneos de actividades recogidas o no en los manuales de operación.

• Un fallo en un instrumento o equipo.

• Un error humano unido a un error o fallo en un instrumento o equipo.

Otras causas menos creíbles y que no deben analizarse a no ser que las consecuencias de las mismas sean catastróficas son:


90

• Fallo simultáneo de dos instrumentos o equipos independientes.

• Fallo de apertura de una PSV1.

Por otra parte y por lo que respecta a las consecuencias, es necesario indicar que deben recogerse y analizarse tanto las que tienen asociado un componente de riesgo como las que delatan un fallo o problema en la operabilidad de la instalación. Por último han de tenerse en cuenta diversas instalaciones que normalmente no aparecen en lo P&ID’s como son los drenajes, las protecciones contra incendios, duchas lavaojos, cortinas de agua, etc.

Todo lo anterior queda representado en las tablas HAZOP (ver figura 7.2.3.1. Modelo tabla HAZOP).

Como resumen diremos que en esta etapa se han de identificar las causas creíbles más relevantes y hemos de reconocer las consecuencias para todas las causas.

Evaluación de consecuencias y establecimiento de recomendaciones Una vez establecidas las consecuencias e identificadas las salvaguardias existentes,

para mitigar el alcance de las consecuencias o evitar la propia causa, puede que sea necesario realizar alguna recomendación.

La implementación de una recomendación determinada debe estar basada en la consecución de un menor riesgo, disminuir la severidad de la consecuencia o bien disminuir la probabilidad de ocurrencia.

Las recomendaciones, en algunos casos, están perfectamente definidas y el mejor resultado parece obvio, por lo que en estos casos se deben acordar y anotar rápidamente antes de pasar al siguiente punto de estudio.

En otros casos la necesidad de recomendación es clara pero la solución no es inmediata, por lo que se necesitará discutir la solución fuera del foro HAZOP y no alargar el estudio con discusiones que pueden no llegar a ningún lado.

Asimismo puede ocurrir que no se ponga de acuerdo el equipo en la necesidad o no de la aplicación de una recomendación. En este caso se anotará el punto y se resolverá fuera del foro HAZOP.

Nivel de riesgo Recomendación

Daños importantes sobre equipos relevantes Alarma independiente en BPCS y enclavamiento de parada

Daños medios en equipos relevantes

Alarma independiente en BPCS sin enclavamientos si se dispone de tiempo suficiente para evitar daños

Daños operativos graves Alarma independiente en BPCS sin enclavamientos si se dispone de tiempo suficiente para evitar daños

Daños operativos medios Alarma en BPCS no independiente y procedimiento de revisión periódica

Daños operativos leves o medios no inmediatos Procedimiento de actuación después de la detección

1 PSV: Pressure Safety Valve (Válvula de Seguridad de Presión)


91

Tabla 7.2.3.1Criterio de recomendaciones

Las recomendaciones se anotarán en la tabla HAZOP, teniendo en cuenta las siguientes puntualizaciones:

• Las recomendaciones consensuadas por el equipo de trabajo, se anotarán en la tabla HAZOP.

• Si no hay acuerdo real de la recomendación por parte del equipo la decisión final deberá ser externalizada, igualmente se anotará.

• Se asignará un responsable único a la recomendación, tanto si es consensuada como sí no.

• La redacción de las recomendaciones debe ser clara, directa, concisa y autoexplicativa.

Se deben utilizar verbos como: verificar, analizar, instalar, modificar, eliminar, etc., al comienzo de cada recomendación para dejar con más claridad lo que se pretende con la recomendación.

Seguimiento de las recomendaciones Una vez terminada la sesión, el coordinador del equipo HAZOP, imprimirá y

distribuirá las recomendaciones que cada miembro tenga asignadas, en tablas que podrían tener el formato de la figura 7.2.3.4. Formato de distribución de recomendaciones. El coordinador solicitará periódicamente la contestación de la recomendación. En aquellos casos donde la contestación sea negativa a implantar un acuerdo del equipo HAZOP, o bien la contestación de un equipo de trabajo no satisfaga los criterios de seguridad seguidos por el equipo, el coordinador del equipo HAZOP decidirá no dar el visto bueno a la contestación y volver a reunir al grupo para intentar consensuar una solución.

Una vez acabado el estudio y contestadas adecuadamente todas las recomendaciones, el coordinador procederá a la edición del mismo y será entregado al jefe del proyecto.

Número de Recomendación Responsable de la Resolución

Recomendación Resolución de la Recomendación

Fecha de Emisión Firma del Coordinador Fecha Resolución Firma Responsable VºBº Coordinador

Figura 7.2.3.4 Formato distribución de recomendaciones

Documentación resultante del estudio HAZOP

El estudio HAZOP normalmente incluirá los siguientes apartados:

1. Introducción.


92

2. Descripción de la metodología HAZOP.

3. Identificación del Estudio HAZOP, incluyendo:

3.1 Descripción de las instalaciones objeto de estudio.

3.2 Descripción de los principales enclavamientos.

3.3 Alcance del estudio analizado, nodos.

3.4 Documentación disponible para la realización del estudio, P&ID’s, Hojas de cálculo, etc.

4. Miembros del equipo HAZOP y asistencia.

5. Listado de nodos y desviaciones.

6. Tablas HAZOP.

7. Listado de recomendaciones.

8. Formato de distribución de recomendaciones.

El método HAZOP nos servirá, en esta parte del ciclo de vida de seguridad, para determinar los riesgos y peligros de un proceso y nos ayudará a determinar de una manera bien estructurada y sistemática a encontrar las Funciones Instrumentadas de Seguridad a las que en una siguiente etapa debemos asignar un índice SIL. Finalmente deberemos implementar en la planta la solución adoptada que cumpla con el SIL asignado. A continuación podemos ver una presentación de los resultados típicos de un HAZOP.

(Ver ANEXO B: Ejemplo HAZOP Sistema Antorcha)


93

De este estudio HAZOP se toman las recomendaciones que deben ser implementadas

en un futuro. Una vez implementadas en una posterior revisión del HAZOP se van indicando aquellas que ya han sido realizadas añadiendo en las columnas del HAZOP la columna Status y la columna Realizado (done).



[2] Sistemas Instrumentados de Seguridad. Evolución, diseño y aplicación. Ing. Roberto E. Varela. Soluciones en Control SRL, setiembre 2003.


[4] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf. published by ISA, 2002.

7.2.4 Revisión de la seguridad Una vez realizado todo el estudio HAZOP es cuando realizaríamos el PASO 1

Safety review del ciclo de vida de seguridad de nuestra organización ejemplo (ver figura Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo y Figura 7.2.2.1. Fase Definición diseño de proceso). En esta etapa los peligros están identificados, y que salvaguardias tenemos colocadas apropiadamente. Antes de continuar y proponer la instalación de un SIS se ha de considerar las alternativas que nos da la protección por capas y considerar la


94

instalación de sistemas mecánicos de protección u otras alternativas. Si aún con todo esto sigue habiendo restos de riesgos no tolerables pasaremos a la instalación de un SIS.

7.3 Asignación del SIL objetivo Del análisis de riesgos (HAZOP) podemos identificar las SIF (Funciones

Instrumentadas de Seguridad). Las SIF recomendadas se encuentran en la columna recomendaciones (open points) del HAZOP mientras que las SIF existentes se encuentran en la columna protecciones (safeguards o countermeasures). Recordemos que una SIF es una función que engloba equipos y acciones que son necesarios para identificar una emergencia y actuar adecuadamente para llevar el proceso a un estado seguro. El SIL se asignará a cada SIF basándose en la reducción de riesgo requerida, el SIL no es una medida del riesgo del proceso, sino una medida de la disponibilidad del sistema de seguridad que es necesario para mantener el riesgo del proceso en el nivel que hemos fijado como aceptable.

Como ya se indicó no existen reglamentaciones que asignen un nivel SIL a un proceso en particular, se trata de una decisión totalmente corporativa, de la compañía. Lo que sí existe son agrupaciones de industrias (p. ej. ISA) que proporcionan un foro de intercambio de experiencias entre diferentes compañías.

Como sucede con el análisis de riesgos existen diferentes métodos para definir el índice SIL que debemos dar a una SIF.

La asignación y cálculo del SIL requerido puede hacerse mediante 2 tipos de métodos: cualitativos o cuantitativos.

7.3.1 Métodos cualitativos Se trata de técnicas de análisis crítico que no recurren al análisis numérico. Agrupan

metas numéricas, produciendo categorías más amplias para la reducción del riesgo. Su objetivo principal es identificar:

a) Riesgos.

b) Efectos: incidentes y accidentes cuando se materializan los riesgos.

c) Causas: orígenes o fuentes de los riesgos.

Los métodos cualitativos más usados son:

Gráfico de riesgo Recogido por la norma IEC 61511 parte 3 y clasifica el índice SIL (1 a 4) de acuerdo

con la normativa alemana DIN V 19250 (AK1 a AK8).

Figura 7.3.1.1 Gráfico de Riesgo recogido en el estándar IEC 61508 y correspondencia SIL


95

El índice SIL se determina con este gráfico valorando cualitativamente los siguientes cuatro parámetros:

Consecuencia (C): Número promedio de fatalidades que pudieron ocurrir como resultado del peligro. Se determina calculando el número promedio de personas en el área de exposición, cuando está ocupada, teniendo en cuenta su vulnerabilidad frente al evento peligroso.

− C1: Daños mínimos.

− C2: Daños serios/permanente a una o más personas.

− C3: Muerte de varias personas.

− C4: Muerte de muchas personas.

Porcentaje de ocupación (F): Probabilidad de que el área expuesta se encuentre ocupada. Se determina calculando la fracción de tiempo en la que el área se encuentra ocupada durante el periodo normal de trabajo.

− F1: Raro o poco expuesto en la zona de riesgo.

− F2. Frecuente o permanente en la zona de riesgo.

Probabilidad de evitar el Peligro (P): Probabilidad de que las personas expuestas sean capaces de evitar el peligro, sí el sistema de protección falla. P debe ser seleccionada solo si se proveen de medios independientes para alertar al personal de que el SIS ha fallado, se proveen de medios independientes para detener el proceso y permitir al personal dirigirse hacia una zona segura.

− P1: Posible en determinadas circunstancias.

− P2: Casi imposible.

Probabilidad de ocurrencia del evento (W): Número de veces por año que el evento peligroso pudiera ocurrir, sin el SIS.

− W1: Poco probable.

− W2: Probable.

− W3: Muy probable.

Los valores de C, F, P y W son unos valores corporativos y sin asignación de valores, no obstante la norma IEC 61511 Parte 3 toma unas referencias y da valores a los parámetros C, F, P y W con lo que el gráfico de riesgo pasa a denominarse Gráfico de Riesgo Calibrado y pasando a ser un método semicuantitativo. La siguiente tabla recogida por la norma IEC 61511 resume las referencias acordadas y que unifican el criterio a la hora de cuantificar los parámetros.


96


97

Matriz de riesgo1 La matriz de riesgos es uno de los métodos más utilizados en la asignación del SIL

en industrias de proceso químicas y petroquímicas. La aplicación de esta metodología consiste en la valoración de la probabilidad de ocurrencia de un accidente y la severidad de sus consecuencias. Esta metodología está recogida en multitud de estándares, recomendaciones prácticas y procedimientos internos de compañías. Tanto la normativa ANSI/ISA S84 como la IEC 61511 parte 3 recogen esta metodología y plantean matrices de riesgo. La matriz de riesgo utilizada en procesos industriales a menudo incorpora un tercer eje donde se tiene en cuenta la efectividad de los sistemas de protección (ANSI/ISA S84) o el número de capas de protección incluyendo el SIS (IEC 61511).

La tabla 7.3.1.1 muestra tres categorías típicas de valorar cualitativamente la severidad del evento peligroso. Es común encontrar matrices con más de tres categorías. Severidad Impacto

Menor Inicialmente limitado al área local del evento, con potencial de una consecuencia mayor si no se toman acciones correctivas. Daños menores en equipos, no paro del proceso. Perjuicios a personas y medio ambiente temporales.

Seria Daños a equipos. Paro corto del proceso. Perjuicios serios al personal y medio ambiente. Puede causar heridas de consideración o daños materiales

Extenso Provoca una parada larga del proceso, grandes daños en equipos y consecuencias catastróficas al medio ambiente y a las personas. Tiene una severidad 5 veces o más que la severidad seria

Tabla 7.3.1.1 Severidad del evento peligroso

La tabla 7.3.1.2 muestra tres categorías típicas para estimar la probabilidad de producirse un evento peligroso, sin tener en cuenta el impacto de las capas de protección existentes. Son datos genéricos y pueden ser utilizados siempre que no se disponga de datos específicos de una planta o tipo de empresa. Si se dispone de datos específicos de probabilidad de ocurrencia de eventos peligrosos asociados a un tipo de industria, estos serán los que se utilicen. Es común encontrar matrices con más de tres categorías de probabilidad de ocurrencia.

Tipos de eventos Probabilidad de ocurrencia

Frecuencia/año Clasificación

Eventos como fallos múltiples de diversos instrumentos o válvulas, múltiples errores humanos en un ambiente libre de estrés, o fallo espontáneo de recipientes de proceso.

f < 10-4 Baja

Eventos como fallos múltiples de instrumentos o válvulas dobles, o emisiones masivas de productos peligrosos en áreas de carga/descarga

10-4 < f < 10-2 Moderada

Eventos como fugas, fallos de instrumentos o válvulas individualmente, errores humanos que resulten en pequeñas emisiones de productos peligrosos.

f > 10-2 Alta

Tabla 7.3.1.2 Probabilidad de evento peligroso sin considerar PL’s 1 También definida como matriz de peligro


98

Los valores de las tablas 7.3.1.1 y 7.3.1.2 son proporcionados como guía y están basados en la información recogida en el libro “Guidelines for Safe Automation of Chemical Processes”1 y recogido en la norma IEC 61511 parte 3 anexo C.

La figura 7.3.1.2 Matriz de riesgo según IEC 61511, muestra una matriz que evalúa el riesgo mediante la combinación de probabilidad de que suceda el evento peligroso y la severidad de la consecuencia del evento junto con un tercer eje donde se tiene en cuenta la efectividad de los sistemas de protección (capas de protección), incluido el SIS. En otras palabras, la matriz se basa en los criterios de la experiencia operacional y el riesgo de la compañía, la filosofía de diseño, operación y protección de la compañía, y el nivel de seguridad que la compañía ha establecido como su nivel objetivo de seguridad. Se ha de tener en cuenta que el sistema básico del control de proceso (BPCS), el sistema de alarmas y los operadores de planta está incluido en la capa de protección y no deben tenerse en cuenta para el tercer eje.

Figura 7.3.1.2 Matriz de peligro según IEC 61511

1 Guidelines for Safe Automation of Chemical Processes “Guías para la Automatización Segura de los

Procesos Químicos”. New York: American Institute of Chemical Engineers (AlChE), 1993.


99

Como ya se ha indicado en varias ocasiones la matriz y la definición del SIL se basa en los criterios de riesgo, el diseño, la operación y la filosofía de protección de la compañía. Es el grupo de trabajo del HAZOP quien determina la consecuencia y la probabilidad de ocurrencia y partiendo de estos valores obtendremos el SIL objetivo de la función instrumentada de seguridad (SIF).

A continuación tenemos otro ejemplo de matriz de riesgo que se basa la cantidad de riesgo de la función de seguridad a analizar en función de cuatro categorías para la probabilidad y severidad. Lo que hace es definir el riesgo tolerable en forma de matriz de peligro (figura 7.3.1.3)

Figura 7.3.3.1 Forma matricial valoración del riesgo

Utilizando esta matriz de peligro hemos de identificar la probabilidad de ocurrencia y consecuencia, teniendo en cuenta las capas de protección, a excepción de la SIF propuesta. Todos los riesgos extremos han de ser reducidos y los riesgos moderados serán reducidos cuando sea práctico (modelo ALARP)

Así hemos de seleccionar el SIL que logre el nivel de riesgo tolerable requerido, basándose en la reducción de la frecuencia de ocurrencia.

Uso y ejemplo del método Matriz de riesgo Como hemos indicado cada compañía u organización normalmente utiliza uno de los

métodos aquí descritos para la selección del SIL, pero normalmente no como aquí se ha descrito, sino que crean sus propios métodos basados en lo que indica la norma IEC 61511 y la IEC 61508, así veremos más adelante un modelo real aplicable al sector químico que utiliza una Matriz de Riesgo propia confeccionada por expertos de la propia compañía.

Si miramos el ciclo de vida de seguridad (Figura 7.1.3 Ciclo de Vida de Seguridad SIS ejemplo), en la fase Asignación SIF al diseño del proceso es cuando evaluaremos si es necesario la implantación de un sistema instrumentado de seguridad, discutido en el paso previo que es el análisis de riesgos.


100

Figura 7.3.1.3 Fase asignación SIF

El paso siguiente al análisis de riesgos es seleccionar un índice SIL meta para cada función instrumentada de seguridad (SIF). Por tanto es en esta fase donde el equipo de diseño propondrá un SIL para cada SIF identificada para ser implementada en el SIS. Como herramienta para determinar la clase de riesgo y el índice meta SIL en el sector químico se utiliza mayoritariamente la matriz de riesgo. Aunque menos utilizado, el método gráfico de riesgos también suele utilizarse. Durante esta fase se finalizan los P&ID’s para representar las funciones del sistema básico del control de proceso (BPCS) y se introducen los cambios en los P&ID’s por aplicación del SIS.

El nivel SIL define el nivel de actuación necesario para alcanzar el objetivo de seguridad del proceso. El nivel SIL define un rango de probabilidad de fallo en demanda medio (PFDavg) que la función instrumentada de seguridad debe alcanzar. Como mayor sea el SIL, mayor será la disponibilidad requerida a la función de seguridad SIF. La siguiente tabla identifica los PFDavg de cada nivel SIL. El valor inverso del PFD es el Factor de Reducción de Riesgo (RRF).


SIL PFDavg RRF Disponibilidad

4 10-4 -> 10-5 10000 -> 100000 0.9999 -> 0.99999

3 10-3 -> 10-4 1000 -> 10000 0.999 -> 0.9999

2 10-2 -> 10-3 100 -> 1000 0.99 -> 0.999

1 10-1 -> 10-2 10 -> 100 0.9 -> 0.99 Tabla 7.3.1.3 Índice SIL

Dónde:


Disponibilidad de Seguridad = (1 – RRF) x 100 (6)

La prestación de una función de seguridad puede ser mejorada añadiendo redundancia, disminuyendo el periodo de test de la función, usando diagnósticos de detección de fallos, etc.


101

Una vez realizado el HAZOP y analizadas las protecciones que un proceso de una planta necesita, se ha de distinguir entre las que están claramente relacionadas con las tareas de seguridad y las que son requeridas por la propia operación de la planta. Por lo tanto, podemos clasificar las funciones de control de proceso en:

• Funciones de Operación. Se utilizan para la correcta operación de la planta en su comportamiento normal. Incluye medida, control e histórico de todas las variables relevantes del proceso. Las funciones básicas de control de proceso se encuentran trabajando en operación continua o listas para actuar antes de que se requiera una actuación del SIS. Estas funciones no son el objetivo del SIS.

• Funciones de Monitorización. Este tipo de funciones actúan durante un momento específico de operación del proceso de una planta cuando una o más variables salen fuera del rango normal de operación. Estas funciones alertan al personal de operación con alarmas los fallos permisibles del proceso de la planta, o inducen a intervenciones manuales o automáticas en el proceso. Estas funciones no son el objeto del SIS, pero han de estar diseñadas de acuerdo a unas buenas prácticas de ingeniería y a requerimientos de autoridades legales o regulatorias. Una guía válida para la gestión de alarmas la encontramos en EEMUA 191: Alarm systems - a guide to design, management and procurement.

Las funciones de operación y funciones de monitorización están recogidas e implementadas en lo que llamamos Funciones Básicas del Control de Proceso y son ejecutadas en el BPCS. No es recomendable que este tipo de funciones se implementen en un SIS.

• Funciones Instrumentadas de Seguridad. Se usan en el proceso de plantas para reducir cualquier riesgo que exceda el nivel del riesgo tolerable. Este riesgo existe sí un daño serio a personas o medio ambiente no puede ser evitado por otro sistema.

El objetivo de esta clasificación es tener los requerimientos adecuados para cada tipo de sistema con un coste económico razonable. El coste económico de un lazo de seguridad es alto, comparado con un lazo básico de control.

Figura 7.3.1.4 Capas de prevención

Las funciones del SIS tienen una baja tasa de demanda al contrario de las funciones del BPCS, esto es debido a la baja probabilidad de que un evento peligroso ocurra.


102

Ejemplo de matriz de riesgo A continuación se expone una matriz de riesgo, que podría ser aplicada por cualquier

industria química y que cumple con la norma IEC 61511.

Riesgo se define como el producto de la probabilidad de que un evento peligroso ocurra y la severidad de las consecuencias del evento.

Riesgo R = P x S (7)

La matriz de riesgos utilizada como herramienta de valoración del riesgo, adopta como filosofía de empresa el máximo riesgo aceptable permitiendo determinar medidas adicionales requeridas para reducir el riesgo. El máximo riesgo aceptable se basa en aquel que es aceptado generalmente por el entorno público general. Una valoración cuantitativa del riesgo para plantas químicas puede teóricamente realizarse, pero es poco fiable por la poca estadística existente en accidentes y en ocasiones las plantas y procesos son únicos.

Con la matriz de riesgo obtenemos y determinamos la clase de riesgo. Los requerimientos mínimos para las medidas de reducción de riesgo se basan en la probabilidad de la causa raíz, expresada como una frecuencia (P) de que ocurra el evento peligroso y la severidad (S) de sus consecuencias.

Figura 7.3.1.5 Matriz de Riesgo

Dónde:

Probabilidad P0: Ocurre una vez por año o más. Ocurrido un par de veces.

P1: Ocurre una vez cada 10 años. Ocurrido una vez.

P2: Ocurre una vez cada 100 años. Casi ocurre, el accidente se evitó por poco.

P3: Ocurre una vez cada 1000 años. Nunca pasa pero es plausible.

P4: Ocurre menos de una vez cada 10000 años. Razonablemente no es un escenario creíble.

Severidad S1: En el lugar: potencial para una o más víctimas.

S2: En el lugar: potencial para uno o más daños o lesiones serias (irreversibles).

S3: En el lugar: potencial para uno o más daños en pérdida de tiempo.

S4: En el lugar: potencial de daños menores.


103

De la matriz de riesgo obtenemos la clase de riesgo con su reducción de riesgo asociado según la siguiente tabla.

Clase de riesgo Nivel de Riesgo Medidas de Reducción de Riesgo

A Extremo, riesgo totalmente inaceptable Cambio en el proceso o diseño

B Muy grande, riesgo inaceptable Cambio en el proceso o diseño, o adopción de un mecanismo de protección SIL 3 (PSV, función E&I)

C Grande, riesgo inaceptable Cambio de proceso o diseño, o adopción de un mecanismo de protección SIL 2 (PSV, función E&I)

D Medio, riesgo aceptable, que debería ser reducido

Mecanismo de monitorización de alta calidad con pruebas de funcionalidad documentadas o procedimiento administrativo de alta calidad

E Bajo, riesgo aceptable, que puede ser reducido

Mecanismo de monitorización o procedimiento administrativo

F Muy bajo, riesgo aceptable Ninguna

Tabla 7.3.1.4 Clase de Riesgo y medidas de Reducción de Riesgo

En general, el criterio que suele seguirse a la hora de asignar Funciones Instrumentadas de Seguridad (SIF) es que solo SIL 2 y SIL 3 requieren Funciones Instrumentadas de Seguridad (SIF). Las funciones con un SIL inferior a 2 son consideradas funciones de monitorización y por tanto, parte del Sistema Básico de Control de Proceso (BPCS). Funciones con un SIL mayor de 3 no serán implementadas y, por tanto, precisan de una modificación del proceso y/o del diseño.

¿Cómo usaremos la Matriz de Riesgo?, ejecutaremos los siguientes pasos:

1. Identificar los peligros.

2. Identificar las desviaciones potenciales.

3. Identificar la causa raíz de cada desviación.

4. Determinar el resultado de un efecto potencial.

5. Para cada causa raíz determinar:

− Severidad de las consecuencias potenciales.

− Probabilidad de la causa raíz principal para aquella consecuencia.

6. Determinar el riesgo en la matriz.

7. Determinar si son necesarias medidas de reducción de riesgo.

8. Determinar si una mayor reducción de riesgo está justificada.


104

Una vez realizado el HAZOP, o bien mientras se está realizando, se puede ir indicando que funciones de seguridad son necesarias, incluidas las instrumentadas, para conseguir un riego tolerable. Asimismo a estas funciones se les va asignando un índice SIL de tal forma en el apartado Counter-measures (salvaguardias) y se indica como recomendación u Open points la necesidad de instalar una SIF (Referirse al capítulo 7.2.3 Metodología HAZOP). (Ver ANEXO B: Ejemplo HAZOP y ANEXO C: Asignación SIL a de las SIF. Matriz de riesgo).

No está recomendado su uso para dividir un escenario en muchos fallos individuales y usar aquellos pares frecuencia/consecuencia separadamente, esto supondría resultados en frecuencia más bajos y aunque la consecuencia siempre seria la misma, la clase de riesgo de cada fallo individual baja, aunque se seleccionase el mayor de las clases de riesgo individuales resultaría o podría resultar una clase de riesgo errónea (demasiado baja) ya que el riesgo de todos los pares es aditivo.

Ejemplo 1: Tenemos como escenario una sobrepresión que puede causar rotura de un recipiente con un potencial de causar daños serios (S2).

− Los eventos iniciadores pueden ser fallos en el control de presión, fuego, etc.

− La frecuencia del escenario podría ser P2 (1 vez cada 100 años).

− Por tanto la clase de riesgo resultará C. Separamos el escenario en muchos fallos:

− Sensor mal calibrado.

− Sensor sucio.

− Cableado roto.

− Error en la programación del DCS.

− Fallo del suministro eléctrico.

− Pérdida del aire de instrumentación.

− Solenoide bloqueado.

− Eje de la válvula roto.

− Válvula de bola bloqueada.

− Control en manual.

− Etc. Ahora la mayor frecuencia individual es menor o igual a P3 (1 cada 1000 años),

nunca ha pasado pero es plausible de ocurrir. Como la consecuencia continua siendo la misma S2 la clase de riesgo resultante es menor o igual a D1.

Como utilizar la Matriz de Riesgos: Si tratando con consecuencias poco probables, combinamos la frecuencia de un evento iniciador con la más severa pero no probable consecuencia resultaría una Clase de Riesgo incorrecta. Separar pares de severidad y su correspondiente probabilidad y determinar la Clase de Riesgo para cada par usando la Clase de Riesgo más severa para representar el escenario.

1 Los valores de consecuencias y frecuencias se extraen de la base de datos de EXIDA


105

Ejemplo 2: Una bomba de 55 kW arranca mientras está bloqueada,

Resolución por escenarios:

CASO 1. El fluido es agua, el material de construcción es dúctil. Tiene una frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresión y se abre. El daño de la bomba y el daño potencial del área o lesiones o daños debido a la onda expansiva: S3. Por tanto Clase de Riesgo E.

CASO 2. El fluido es altamente tóxico, el material de construcción es dúctil. Tiene una frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresión y se abre. Daños en la bomba, daño potencial del área o lesiones o daños debido a la onda expansiva, potencial de daños serios o víctimas debido a la nube tóxica: S1. Por tanto Clase de Riesgo B.

CASO 3. El fluido es agua, el material de construcción es frágil. Tiene una frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresión y se abre. Daño significante local debido a la proyección de escombros (efecto metralla): S?. Por tanto la clase de riesgo ?

CASO 4. El fluido es agua, el material de construcción es frágil. Tiene una frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresión y se abre. Daños en la bomba, daño significante local debido a la proyección de escombros (efecto metralla): Si el área es normalmente con paso de personal o bien el recipiente tiene contenido altamente tóxico, potencial de víctimas: S1. Clase de Riesgo B.

CASO 5. El fluido es agua, el material de construcción es frágil. Tiene una frecuencia de ocurrencia P2. Como consecuencia la bomba coge sobrepresión y se abre. Daños en la bomba, daño significante local debido a la proyección de escombros (efecto metralla): S?. Área raramente con personal y recipientes cercanos no críticos: S?.

Los casos 3 y 5 no resuelven correctamente el problema ya que no tienen en cuenta si en el momento del accidente hay personal en la zona. Ahora formamos pares para resolver el problema:

PAR Primero: Frecuencia mientras nadie está presente: P2. Como consecuencia la bomba coge sobrepresión y se abre. Daños en la bomba, daño significante local debido a la proyección de escombros (efecto metralla) pero no hay efectos sobre las personas: S4. Clase de Riesgo F.

PAR Segundo: Alguien está presente en la zona durante aproximadamente 2 horas al día (10%), frecuencia mientras alguien está presente P3. Daños en la bomba, daño significante local debido a la proyección de escombros (efecto metralla), potencial de daños o lesiones serias: S2. Clase de Riesgo D.

PAR Tercero: Alguien está presente en la zona durante aproximadamente 2 horas al día (10%), frecuencia de que alguien estando presente y reciba el impacto de los escombros con fatalidad: P4. Como consecuencia la bomba coge sobrepresión y se abre. Daños en la bomba, daño significante local debido a la proyección de escombros (efecto metralla), potencial de víctimas: S1. Clase de Riesgo E.

La forma de resolver el problema por pares es comparar los pares y coger la Clase de Riesgo más alta. Para este caso sería la D.

Una vez ya tenemos determinados los niveles SIL de las funciones instrumentadas de seguridad (SIF’s) y representadas las funciones en los P&ID’s pasamos a realizar el paso 2


106

de Revisión de Seguridad (Paso 2 Safety Review) según el ciclo de vida de seguridad (ver figura 7.1.3 Ciclo de Vida de Seguridad ejemplo y figura 7.3.1.3 Fase asignación SIF).

7.3.2 Métodos cuantitativos Algunos ingenieros no se sienten cómodos con el uso de métodos puramente

cualitativos, ya que consideran que son métodos con baja repetibilidad. Pueden estar en lo cierto siempre y cuando los grupos o equipos destinados a utilizar estos métodos no tengan el suficiente entrenamiento e inputs de casos similares.

El método cuantitativo más representativo es el método LOPA (Análisis de las Capas de Protección – Layer of Protection Analysis).

Método LOPA De entre todas las metodologías para calcular el índice SIL reflejadas en los

estándares y normativas IEC 61511 y ANSI/ISA-84.00.01, el análisis LOPA es la técnica más exhaustiva por tener un carácter cuantitativo. El método LOPA fue desarrollado por el American Institute of Chemical Engineers (AIChemE 1993). Esta metodología esta recogida tanto por la normativa ANSI/ISA-S84 como por la IEC 61511 parte 3.

Como vimos en el primer capítulo de este trabajo y reflejamos en la siguiente figura 7.3.2.1, las capas de protección en una instalación de proceso se dividen en capas de prevención, destinadas a prevenir el accidente y capas de mitigación, destinadas a reducir las consecuencias del accidente.

Figura 7.3.2.1 Capas de protección

Esta técnica se basa en el análisis objetivo de las distintas capas de protección de que dispone un proceso, evaluando el riesgo del mismo y comparándolo con el criterio de riesgo tolerable definido por la propiedad, para decidir si las capas de protección son adecuadas o si es necesario mejorar las existentes o introducir capas adicionales.


107

El método arranca con los datos obtenidos en al análisis HAZOP (HAZard and Operability analysis) y explica, para cada peligro identificado en la documentación, la causa inicial y las capas de protección que previenen y mitigan el peligro. Esto permite calcular la cantidad de reducción de riesgo obtenido y analizar la necesidad de reducir aún más el riesgo. Si se requiere una mayor reducción de riesgo y tiene que ser obtenida a través de una función instrumentada de seguridad (SIF), este método nos permite determinar el SIL apropiado de la SIF.

El primer paso requiere determinar un nivel de riesgo tolerable. Un escenario típico podría ser el que muestra la tabla 7.3.2.1 donde se expresa la probabilidad de que un accidente provoque una víctima en un año. Tablas similares pueden confeccionarse para impacto medioambiental, pérdida de producción, daños a equipos, etc.

Máximo riesgo tolerable para operarios

Riesgo residual para operarios

Máximo riesgo tolerable para público

Riesgo residual para público

10-4 10-6 10-4 10-6

Tabla 7.3.2.1 Probabilidad de riesgo tolerable ejemplo

Los niveles de riesgo tolerables quedan bajo criterio de los responsables de la compañía e incluso pueden intervenir órdenes gubernamentales, si bien existen unos estándares ampliamente aceptados por las compañías y gobiernos que se resume en la tabla siguiente:

Nivel del impacto del

evento Consecuencias

Frecuencia objetivo tolerable por año

Menor Impacto inicialmente limitado a un área local del evento con un potencial para una consecuencia más amplia si no se toman acciones correctivas. Fugas dentro de barreras de contención cuyas consecuencias al ambiente son conocidas (ruido, olores, impacto visual detectable, derrame externo controlable en un día)

1.0 x 10-3

Severa Es aquella consecuencia que podría causar cualquier lesión o fatalidad seria en el lugar o fuera de él, o bien un daño a la propiedad económico tanto dentro (1 M $) como fuera (5 M $). Fugas fuera de los límites sine efectos adversos (el derrame externo se puede controlar en pocos días)

1.0 x 10-4

Catastrófico (Extensiva)

Es aquella consecuencia que es 5 o más veces severa que un accidente de consecuencias SEVERAS. Fuga fuera de los límites de contención con efectos adversos (derrame no controlable en pocos días)

1.0 x 10-5

Tabla 7.3.2.2 Probabilidad de riesgo tolerable aceptada y basada en la IEC 61511 Parte 3 Anexo C


108

Un segundo paso implica determinar la probabilidad del evento inicial de los sucesos no deseados. Pueden ser eventos externos (p. ej. impactos de rayos) o fallo de una de las capas (p. ej. Fallo del sistema de control de una válvula). Para valorar estas probabilidades necesitamos valores numéricos. Normalmente son valores basados en registros históricos o datos de índice de fallo recogidos en bases de datos y publicadas por organizaciones como EXIDA1, OREDA2, etc. La siguiente tabla 7.3.2.3 muestra un ejemplo de probabilidad de eventos iniciales.

Evento inicial Frecuencia (por año)

Impacto de un rayo 10-3

Fallo lazo Sistema de Control 10-1

Fallo operación 10-2

Fuga por rotura junta 10-2

Tabla 7.3.2.3 Probabilidad de eventos iniciales. Un tercer paso requiere determinar la probabilidad de fallo en demanda (PFD) de las

capas independientes de protección (IPL) diseñadas o existentes (control de proceso, alarmas, válvulas de seguridad, etc.). La siguiente tabla 7.3.2.4 muestra un ejemplo de la probabilidad de fallo en demanda que se puede asignar a diferentes niveles.

IPL Pasiva PFD

Dique 10-2

Cortafuegos 10-2

Muro de contención 10-3

Detector de fuego 10-2

IPL Activa

Válvula de alivio 10-2

Disco de ruptura 10-2

BPCS 10-1

Tabla 7.3.2.4 PFD’s de diferentes IPL’s

La acción del operador también es considerada como un IPL y tiene una consideración y si consideramos que el operador está siempre presente, tiene suficiente entrenamiento para dar una respuesta apropiada, tiene tiempo para actuar (p. ej 15 minutos) y tiene indicación del problema podemos considerar un PFD de 0,1. Si no se cumplen las condiciones anteriores entonces el PFD será de 1.

1 Safety Equipment Reliability Handbook - 3rd Edition. Published by EXIDA. 2 Offshore Reliability Data Handbook - 5th Edition. Published by OREDA.


109

Una capa de protección debe ser.

• Específica: Una IPL está diseñada solo para prevenir o mitigar las consecuencias de un evento potencialmente peligroso.

• Independiente: Una IPL es independiente de otra capa de protección asociada con el peligro identificado.

• Confiable: Ha de hacer el trabajo para lo que fue diseñada.

• Verificable: Está diseñada para facilitar una validación periódica de las funciones de protección para las que fue diseñada.

Finalmente en un último paso calcularemos la frecuencia de todas las rutas que se originan desde el evento iniciador, multiplicando la frecuencia del evento iniciador por cada una de las probabilidades que se apliquen de las diferentes capas y compararemos esta frecuencia con el criterio de riesgo tolerable. Si no se cumple este criterio añadiremos capas de protección.

Riesgo tolerable (f) ≤ Riesgo Inherente (f) × PFD todas las capas (1)

Ejemplo Se trata de un ejemplo simple en el que el nivel de un tanque de almacenaje de

hexano, material combustible, es controlado por un control de nivel que actúa sobre una válvula de entrada de producto. Si se sobrellena el tanque, el líquido de hexano será liberado por una válvula de venteo y este será contenido por un dique. El análisis de riesgo realizado mediante HAZOP nos indica que el control de nivel puede fallar, que el líquido puede escaparse del dique, que una fuente de ignición puede prender el hexano y por tanto puede ocurrir un accidente con víctimas. Se pretende determinar si existe alguna instalación que permita reducir el riesgo al nivel deseado por la organización, o si algún cambio de diseño es requerido.

Figura 7.3.2.2 Ejemplo LOPA

La compañía establece un riesgo tolerable de 1 x 10-5 víctimas mortales y un riesgo tolerable de fuego de 1 x 10-4.

En este ejemplo el evento inicial sería un fallo en el sistema de control, que se estima en 0,1 (por definición).


110

La única capa de seguridad existente es el dique, que tiene un PFD estimado de 0,01. Las alarmas y por tanto la acción del operador no se estiman ya que la causa inicial es el sistema de control, por tanto no puede generar alarmas.

La compañía toma un criterio conservativo e indica que si el producto sale fuera del dique la probabilidad de ignición es del 100%.

La probabilidad de que haya alguien en el área afectada mientras ocurre el suceso se estima en 50%. Y finalmente la probabilidad de que alguien en el área muera debido al accidente es del 50%.

La siguiente figura muestra la versión LOPA del árbol de eventos.

Figura 7.3.2.3 Versión LOPA árbol de eventos

Como resultados la probabilidad del accidente resultante es igual a la probabilidad del evento inicial, multiplicada por cada una de las probabilidades de fallo en demanda (PFD) de todas las capas de protección. Aplicando la ecuación (1) obtenemos:

Probabilidad de fuego es: 0,1 x 0,01 x 1 = 10-3

Probabilidad de Fuego con víctimas es: 0,1 x 0,01 x 1 x 0,5 x 0,5 = 2,5 x 10-4

Como riesgo tolerable objetivo para fuego es de 10-4 y el obtenido es 10-3 vemos que el sistema no alcanza el objetivo deseado con un factor de 10 (RRF).

El objetivo de riesgo tolerable de víctimas es de 10-5 y el obtenido es de 2,5 x 10-4 por lo que no encuentra el valor objetivo por un factor 25 (RRF). Una posible solución sería instalar una función de paro por nivel alto del tanque.

Para calcular el SIL objetivo sabemos que:

PFD = Riesgo tolerable / Riesgo anticipado (2)

RRF = 1 / PFD (3)

Para alcanzar el riesgo tolerable para fuego:

PFD = 10-4 / 10-3 = 10-1 ; RRF = 10

Para alcanzar el riesgo tolerable para el caso fuego con víctimas:

PFD = 10-5 / 2,5 x 10-4 = 4x 10-2; RRF = 25

Por lo tanto, el diseño actual no cumple con el valor requerido de seguridad por la compañía. Se requiere una SIF con un factor de reducción de riesgo mayor de 25, por tanto


111

un PFD = 0,04. Esto significa un lazo de seguridad SIL 1 pero con un RRF por encima de 25 (Ver tabla 7.3.1.3 Índice SIL).


SIL PFDavg RRF Disponibilidad

1 10-1 -> 10-2 10 -> 100 0.9 -> 0.99

La siguiente figura muestra un ejemplo de hoja de trabajo LOPA. Escenario nº: Equipo nº: Escenario: Sobrellenado del tanque de

hexano. Derrame no contenido por el dique

Fecha: Descripción Probabilidad Frecuencia por año

Consecuencia Fuga de hexano fuera del dique debido a un sobrellenado del tanque y fallo del tanque con potencial de ignición y fatalidad

Riesgo tolerable Riesgo máximo tolerable de fuego

Riesgo máximo tolerable de fatalidad

< 1 x 10-4

< 1 x 10-5

Evento inicial Fallo lazo de control BPCS 0,1

Modificadores de condición (si aplica)

Probabilidad de ignición 1

Probabilidad de ocupación del área 0,5

Probabilidad de fatalidad 0,5

Otras N/A

Frecuencia de consecuencias no mitigadas 2,5 x 10-2

IPL Capas Independientes de Protección

Dique (existente) 1 x 10-2

Salvaguardas (no IPL’s)

Intervención del operador no es independiente como capa ya que depende de una alarma generada por el BPCS y el fallo de este es causa inicial del evento.

PFD total para todas las IPL’s 1 x 10-2

Frecuencia de la consecuencia mitigada 2,5 x 10-4

¿Riesgo tolerable objetivo alcanzado?: No. Se requiere SIF

Acciones requeridas: Añadir una SIF con un RRF mínimo de 25 (PFD como máximo de 4 x 10-2) Mantener el dique como una IPL.

Dpto. responsable del trabajo: Ingeniería de Control e Instrumentación

Persona responsable: XXXXXX Fecha: Julio 2011

Figura 7.3.2.4 Ejemplo hoja de trabajo LOPA


112




[3] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published by ISA, 2002.


[5] Artículo: Techniques for Assigning A Target Safety Integrity Level, Angela E. Summers, Published in ISA Transactions 37 (1998).

[6] Artículo: Methods of determining Safety Integrity Level (SIL). Requeriments – Pros and Cons, W G Gulland, Published by Springer-Verlag London Ltd of the Safety-Critical Systems Symposium. Febrero 2004.


[8] Seminario: PAS Process Safety Seminar. Luis García (CFSE). Automation and Drives, SIEMENS. Tarragona, abril 2008.

7.3.3 Revisión de la seguridad Una vez realizada la asignación del nivel SIL de cada función de seguridad a

implementar en nuestro sistema es cuando realizaríamos el PASO 2 Safety review del ciclo de vida de seguridad de nuestra empresa (ver figura Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo y Figura 7.3.4).

En el paso 2 de revisión de seguridad en el ciclo de vida, el equipo del proyecto definirá que funciones pasarán a formar parte del sistema de protección de equipos y como estos equipos deberán ser diseñados y probados. En esta etapa de revisión, cada peligro del proceso a ser mitigado o llevado a un nivel de riesgo tolerable usando un SIS será documentado ya que es deseable que todas las decisiones tomadas sean entendidas en cualquier tiempo (p. ej. en futuras modificaciones de planta). En particular se documentarán los siguientes apartados:

• Índice SIL propuesto.

• Descripción del peligro.

• Descripción de la función instrumentada de seguridad.

− Las razones por las que una función específica pasa a ser una función instrumentada de seguridad (SIF).

− La función de los elementos instrumentados de seguridad.

− La ingeniería de diseño.

− Requerimientos de mantenimiento.

− Bypass con el objetivo de realizar mantenimiento y/o operación.

− Requerimientos de pruebas de funcionalidad.


113

Una forma que se propone de documentación es en forma de check list basada en los tags de cada función.

Los responsables de redactar la documentación, depende de cada compañía, normalmente son el responsable del proyecto y el responsable de ingeniería. Esta documentación formará parte de los registros de esta segunda etapa revisión de seguridad y pasarán a formar parte en la siguiente etapa del ciclo de vida de seguridad funcional: Especificación de los Requerimientos de Seguridad.

Es muy importante discutir el intervalo de prueba de funcionalidad con relación a los planes de operación de la planta. El intervalo de test puede impactar significativamente en el diseño final.

En el (ANEXO G: Especificaciones de los requisitos de Seguridad) se puede ver un ejemplo de check list donde se recogen los resultados de la fase de asignación del valor SIL y se complementa con las especificaciones de los requisitos de seguridad para poder pasar a la fase de ingeniería y diseño del SIS.

7.4 Especificaciones de los requerimientos de seguridad (SRS) Una vez se ha determinado que es necesario instalar un sistema instrumentado de

seguridad (SIS) y se ha establecido el nivel de integridad de seguridad (SIL) para cada función instrumentada de seguridad (SIF) el paso siguiente será desarrollar lo que se entiende como las especificaciones de los requerimientos de seguridad. Las SRS constituye la guía para definir los requerimientos de diseño de acuerdo a las normas utilizadas y a los estándares de cada compañía, por lo que ha de ser lo más completa posible.

Es muy importante desarrollar está etapa con mucha rigurosidad ya que como se comentó en el capítulo 7 un estudio de HSE británica concluyó que 34 accidentes en diferentes industrias ocurrieron por fallos en el sistema de control y seguridad. Los resultados del estudio, mostrados en la figura 7.4.1 indican que las principales causas de los accidentes fueron errores en las especificaciones del sistema (44%), incluyendo una mala valoración de los SIL’s.

Figura 7.4.1 Causas más comunes de accidentes debido a los SIS

IEC 61511 define las SRS como las especificaciones que contienen todos los requerimientos de las funciones instrumentadas de seguridad en un sistema instrumentado de seguridad.

El objetivo de esta fase del ciclo de vida (SRS) consiste en especificar y documentar todos los requerimientos para todas las funciones de seguridad que ha de realizar el SIS para el desarrollo de su ingeniería de detalle y para la seguridad funcional del proceso.


114

Se trata de una etapa crítica, cualquier error, falta de datos u omisión en las especificaciones resultará en una función de seguridad que no será capaz de realizar su cometido en la forma prevista, con lo que la seguridad se verá afectada. Por tanto, las SRS deben ser desarrolladas y revisadas por un equipo con experiencia en proceso, equipos, operación y mantenimiento del proceso que se trata. La documentación de las SRS será posteriormente utilizada para la verificación y validación del SIS.

Las SRS, como hemos indicado es un documento clave para la implementación y pruebas del proyecto, así como para la correcta operación del sistema y su mantenimiento (figura 7.4.2). Es el enlace entre todo el estudio teórico/práctico de análisis para poder crear una base firme y estructurada para poder ejecutar el proyecto. Siempre son elaboradas una vez seleccionado el SIL objetivo. Como hemos visto el 44% de los fallos del sistema de seguridad instrumentado ante un incidente se debe a una mala especificación de los requerimientos de seguridad, que pueden ser debido a:

− No realización correcta del Análisis de Riesgos y Peligros del proceso, lo que implica una base de entrada para las SRS incorrecta (mala identificación de las SIF, selección incorrecta del SIL).

− No se identifican modos de fallo y requerimientos de protección (acciones de la SIF no logra un estado seguro, lentitud en la identificación y prevención del peligro).

− No se definen todos los modos de operación del proceso (arranque, paro, etc.).

− No se identifican todas las condiciones ambientales y de proceso.

− Control de las SRS inadecuado.

− Requerimientos contradictorios o incompletos.

Figura 7.4.2 SRS, documentación de enlace análisis/implementación


115

Para desarrollar las especificaciones de los requerimientos de seguridad se requiere información como datos de diseño del proceso, análisis de riesgo del proceso (PHA), lista de las funciones instrumentadas de seguridad (SIF) y su SIL objetivo, diagramas de instrumentación y proceso (P&ID’s), diagramas eléctricos, etc.

Los resultados de las SRS cubrirán las especificaciones de los requerimientos de seguridad generales del SIS, tanto los relativos a la confiabilidad del sistema de seguridad (requerimientos de integridad) como los relativos a que ha de hacer el sistema de seguridad (requerimientos funcionales).

7.4.1 Especificaciones funcionales Los requerimientos funcionales deben describir la lógica del sistema, es decir, que

debe hacer y características de cada función instrumentada de seguridad. La especificación funcional debe incluir la definición de parámetros como:

− Rango de operación normal de las variables del proceso y sus límites máximo y mínimo.

− El estado seguro del proceso, para cada uno de los eventos identificados.

− Las entradas de proceso al SIS y sus acciones.

− Las salidas de proceso del SIS y sus acciones.

− Interfaces e interacciones con otros sistemas (incluyendo el sistema de control básico de proceso, DCS, y operadores).

− Punto de referencia (Set Point) de las variables del proceso y su tolerancia.

− La relación funcional entre la detección y actuación de los elementos finales (entradas y salidas del proceso), incluyendo la lógica, las funciones matemáticas y cualquier otro permisivo que se requiera mediante las representaciones de diagramas lógicos y diagramas causa-efecto.

− Selección de los modos de energizar o desenergizar para disparo1. Generalmente las aplicaciones SIS se encuentran normalmente en el modo energizado y son desenergizadas para disparo. Cuando el proceso específico requiera que alguna aplicación SIS sea normalmente energizada para disparo deberá fundamentarse y demostrarse.

− Consideraciones para disparo manual.

− Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS.

− La Respuesta de acción a cualquier fallo detectado.

− Requerimientos de la interface humano-máquina.

− Funciones de restablecimiento del SIS después de un paro (reset).

− Los tiempos de respuesta y las tolerancias permisibles de las funciones y de los componentes relevantes.

1 Activación de la Función Instrumentada de Seguridad (SIF)


116

− Si la función de seguridad es aplicable a sistemas instrumentados de seguridad operando en modos de operación de baja demanda (no mayor a una demanda por año y una frecuencia de prueba no mayor a 2 veces por año), o de alta demanda/ continua (mayor a una demanda por año y una frecuencia de prueba mayor a dos veces por año).

− Los modos de operación relevantes del equipo bajo control, lo cual debe incluir: arranque automático y manual, semiautomático, estado estacionario, estado estacionario de no operación, restablecimiento, paro, mantenimiento, y la identificación de las funciones instrumentadas de seguridad requeridas para operar dentro de cada modo.

− La importancia de las interacciones de los componentes físicos del sistema (hardware)/programas de cómputo (software), e identificar y documentar cualquier restricción para dichas interacciones.

− Cualquier requerimiento específico referente a los procedimientos de arranque y restablecimiento del SIS.

7.4.2 Especificaciones de integridad Los requerimientos de integridad, nivel de confiabilidad del sistema y de cada

función instrumentada de seguridad del SIS definirán la capacidad con que cada función de seguridad es capaz de realizar su trabajo. Servirán para establecer una arquitectura aceptable del sistema para lograr el nivel de desempeño, seguridad e integridad requerida para que el SIS ejecute las funciones necesarias. Definen la capacidad de cómo de bien cada función de seguridad actuará. Los requerimientos de integridad de seguridad deben incluir una definición de los siguientes parámetros de integridad:

− La tasa de demanda objetivo, SIL requerido, para cada una de las funciones de seguridad.

− Una descripción de todas las funciones instrumentadas de seguridad para lograr la seguridad funcional requerida y el SIL para cada una de ellas.

− El factor de reducción de riesgo (RRF) para cada función de seguridad.

− Requerimientos de diagnóstico para lograr el SIL requerido.

− Requerimientos de mantenimiento y prueba para lograr el SIL requerido (intervalo mínimo de prueba “proof test”).

− Requerimientos de confiabilidad en caso de presentarse disparos en falso (máxima tasa de disparo en falso permisible).

− Detallar todos los modos requeridos de comportamiento del SIS, particularmente ante fallos y la respuesta requerida (por ejemplo, alarmas, paro automático, etc.,).

− Las condiciones ambientales extremas probables a ocurrir durante todo el ciclo de vida de seguridad del SIS. Se deben considerar como mínimo las siguientes variables: temperatura, humedad, contaminantes, interferencia


117

electromagnética1, interferencia de frecuencia2, vibración, descarga electrostática, inundación, clasificación eléctrica de áreas.

− Los límites de inmunidad electromagnética requeridos para lograr compatibilidad electromagnética, los cuáles deben ser fijados considerando tanto el ambiente electromagnético como los niveles de integridad de seguridad requeridos.

− La iniciación manual de funciones protectoras sustituye en muchos casos a la iniciación automática, por esta razón es importante en funciones iniciadas manualmente considerar la confiabilidad humana, ya que la integridad de los componentes físicos (hardware) de la iniciación manual no debe ser menor a aquélla de la iniciación automática.

De acuerdo con la norma IEC 61511, el SIL requerido de cada función instrumentada de seguridad en modo demanda será especificado de acuerdo con la tabla 7.4.2. Las funciones de seguridad en modo continuo de operación raramente son usadas en procesos industriales, aunque también la norma IEC 61511 especifica el SIL requerido (Ver capítulo 5.50 Modo de operación).

SIL Clase de Riesgo3 PFDavg RRF Disponibilidad

4 No usado. No se

puede mitigar sólo vía SIS

10-4 -> 10-5 10000 -> 100000 0.9999 -> 0.99999

3 B 10-3 -> 10-4 1000 -> 10000 0.999 -> 0.9999

2 C 10-2 -> 10-3 100 -> 1000 0.99 -> 0.999

1 No precisa SIS 10-1 -> 10-2 10 -> 100 0.9 -> 0.99

Tabla 7.4.2 Índice SIL: Probabilidad de fallo en demanda

La probabilidad de fallo en demanda de cada SIF debido a fallos en el hardware depende de varios factores:

• La arquitectura del SIS y cualquier elemento relacionado con las funciones de seguridad a considerar.

• El ratio estimado de fallos peligrosos de cada subsistema, debidos a fallos aleatorios de hardware que causarían un fallo peligroso del SIS, pero que son detectados por tests de diagnósticos.

• El ratio estimado de fallo de cada subsistema debido a fallos aleatorios de hardware que causarían un fallo peligroso del SIS, y que no son detectados por tests de diagnósticos.

1 La interferencia electromagnética se refiere al fenómeno electromagnético no deseado que afecta las señales eléctricas a una banda menor que la radiofrecuencia. Es una forma de ruido eléctrico que surge generalmente de motores, transformadores, conductores de energía y de prácticas de cableado inapropiadas. 2 La interferencia por radiofrecuencia surge de señales en falso en el rango de radiofrecuencia (generalmente de 0.5 a 500 MHz), puede generarse de manera local por sistemas de ignición, dispositivos de comunicación de dos vías, equipo de soldadura, dispositivos de control, computadoras, entre otros.

3 Clase de Riesgo determinado usando la matriz de riesgo ejemplo propia de la organización (figura 7.3.1.5).


118

• La susceptibilidad del SIS a fallos de causa común.

• Factor de cobertura de diagnóstico (fracción de fallos detectados) de cualquier test automático de diagnósticos, los intervalos de test y la fiabilidad de ellos.

• Los intervalos de prueba de funcionalidad de seguridad “proof test” (test de funcionamiento de equipos).

• El tiempo de reparación de los fallos detectados (MTTR).

• Posibles fallos peligrosos de comunicación con el proceso.

• Posibles fallos peligrosos por causas humanas (p. ej. la respuesta a alarmas relativas a seguridad).

• Susceptibilidad a las EMC (interferencias electromagnéticas).

• Susceptibilidad a las condiciones climáticas y mecánicas, stress de los componentes, fallos de causa común.

Es importante resaltar que los Sistema Instrumentados de Seguridad, que se ajustan a unas estructuras estándar que más adelante mencionaremos como Típicos, no requieren calcular la probabilidad de fallo ya que el cálculo y su asignación de nivel SIL se ha realizado y abordado en conjunto. Es decir existen empresas u organizaciones con suficientes recursos que disponen de expertos en seguridad que establecen sus propios estándares y guías donde se proponen arquitecturas completas a utilizar con los instrumentos estándares que la propia compañía autoriza. Cada arquitectura lleva asociado el nivel SIL que se alcanza. Con ello se pretende estandarizar y facilitar la ingeniería de seguridad dentro de estas compañías multinacionales.

El diseño ha de cumplir el SIL objetivo y se ha de verificar que alcanza el nivel SIL antes de ser implementado. Que la implementación del sistema de seguridad cumpla con el diseño establecido y cumpla con las especificaciones requeridas será verificado durante el PASO 4 Safety review (Pre-Start Up Safety Review, PSSR) del ciclo de vida de seguridad (ver figura Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo).

7.4.3 Especificaciones de sobrevivencia Las especificaciones de sobrevivencia se refieren al requerimiento específico de que

un Sistema Instrumentado de Seguridad permanezca funcionando durante o después de un incidente mayor y son identificadas en la evaluación de riesgos. Una especificación de sobrevivencia será normalmente requerida por válvulas del Sistema Instrumentado de Seguridad y válvulas de alivio en áreas de proceso en dónde el actuador y la válvula puedan ser vulnerables a explosión por sobrepresión externa, fuego, caída de objetos y cualquier otro daño que lo inhabilite antes de que la válvula regrese completamente a su posición segura o realice su función de seguridad.

7.4.4 Documentación SRS Normalmente las SRS es un documento que elabora el usuario final (la compañía que

requiere el SIS) para que una empresa ejecutora (proveedor) desarrolle el sistema. Cómo será la base de diseño del sistema de seguridad, toda la información requerida debe ser incluida en un paquete completo. Por este motivo el documento debe estar bien estructurado de tal modo que los requerimientos del SIS sean claros, precisos, verificables, factibles y escritos de forma entendible para que puedan ser comprendidos y aplicados. La


119

documentación SRS parta el diseño del SIS debería incluir: (ANEXO G: Especificaciones de los requisitos de Seguridad):

− La descripción del proceso que incluiría: • P&Ids, diagramas de tuberías e instrumentación del proceso.

• Descripción de la operación del proceso.

• Descripción del control del proceso incluyendo la filosofía del diseño del sistema de control, tipo de controles, la interface con el operador, gestión de alarmas, y registros de históricos.

• Requerimientos de normativas y leyes que afectan el diseño del SIS.

− Acciones que el sistema o componente debe realizar bajo circunstancias establecidas (especificación funcional).

− Integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias (especificación de integridad).

− Requerimientos de sobrevivencia una vez que un incidente serio ha sucedido (especificación de sobrevivencia).

Además de toda esta información puede incluir para completar el paquete de documentos:

− Diagramas causa-efecto: También conocidos como matrices de causa efecto (cause and effects Matrix "CEM"). Se han convertido en una herramienta muy familiar para documentar los requisitos de seguridad de un SIS - es una manera muy intuitiva de representar la lógica. Estos diagramas se usan para documentar los requerimientos funcionales y de integridad. Deben ser documentos claros para todas las disciplinas. (Ver tabla 7.4.4.1 Diagrama Causa Efecto muestra)

SIL Rango Instrumento

Valor trip Unidades Cierra

XV10 Abre XV11 Notas

Descripción

LIAH10 Nivel tanque Hexano 1 0-100 80 % X

LIAHH10 Nivel tanque Hexano 1 0-100 90 % X X 2

Nota 2 Tiempo requerido de actuación máximo 3 segundos

Tabla 7.4.4.1 Diagrama CEM ejemplo

− Diagramas lógicos: Estos diagramas se deben usar en adición de los diagramas causa-efecto para funciones complejas y basadas en tiempo, así como para secuencias complejas que no pueden ser descritas fácilmente mediante un diagrama de causa-efecto. (Ver figura 7.4.4.2 Diagrama lógico ejemplo)


120

Figura 7.4.4.2 Diagrama lógico ejemplo

Para poder desarrollar las especificaciones de los requerimientos de seguridad se requiere la siguiente información:

− Información de peligros del proceso (PHA).

− Lista de las funciones instrumentadas de seguridad requeridas y el SIL de cada función de seguridad. Lista obtenida en la elaboración del análisis de riesgos.

− Diagramas de proceso y diagramas de tubería e instrumentación (PID’s), hojas de datos de proceso y hojas de especificaciones de instrumentos.

− Información del proceso (filosofía de operación, elementos finales, entre otros) e información del análisis de riesgo (causa y secuencia de cada evento potencial de peligro que requiera un SIS).

− Consideraciones de falla de causa común del proceso tales como corrosión, taponamiento, etc.

− Requerimientos de normativas y leyes que impactan al SIS. − Consideraciones de confiabilidad, calidad y ambientales.

− Lista de consideraciones operacionales y de mantenimiento.

7.4.5 Ejemplo de Requerimientos básicos de seguridad Se trata de una lista de requerimientos a modo de guía que una compañía ejemplo

describe para la realización de las especificaciones de los requisitos de seguridad y por tanto para el diseño que cualquier sistema instrumentado de seguridad instalado en sus plantas ha de cumplir.

Prácticamente la totalidad de las empresas químicas multinacionales crean sus propios estándares y requisitos para cumplir plenamente con la norma IEC 61511 y 61508 (ANSI/ISA 84) y que son de obligado cumplimiento por las directrices de la empresa. El que cada empresa multinacional cree sus propios estándares hace que la aplicación de la norma sea de forma global y de una forma entendedora por parte de cualquier persona que pertenezca a la compañía, por muy dispar que sea su ubicación. Así, requerimientos típicos que empresas suelen tener y que facilitan mucho la aplicación de la norma pueden ser:

• Utilización de instrumentos y PLC’s de seguridad que cumplan con la normativa y estén aprobados y homologados para su utilización en la compañía. Así las empresas suelen crear una lista estándar de componentes que pueden ser utilizados.

• Siempre que sea posible se recomienda usar arquitecturas estándares aprobadas, también llamados “típicos”. Estos típicos combinan la arquitectura estándar de


121

un lazo y la frecuencia de prueba de funcionamiento para lograr el SIL requerido, con los instrumentos estándares y con los requerimientos de mantenimiento. Cualquier otra arquitectura requerirá cálculos para verificar que el diseño cumple con índice SIL requerido. (Las arquitecturas serán detalladas en el capítulo 7.5 Ingeniería y diseño del SIS y ejemplo de arquitecturas estándar se encuentran en el capítulo 7.6.4 Uso de guías propias estandarizadas).

• Si es necesario realizar cálculos de la probabilidad de fallo en demanda (PFD) o cualquier otro tipo de cálculo para el diseño del SIS, estos cálculos tienen que ser aprobados por una comisión de expertos de la compañía.

• Los SPLC (PLC’s de seguridad) pueden trabajar siempre y cuando estén aprobados y certificados por una organización independiente (p. ej. TÜV).

• Las Funciones Instrumentadas de Seguridad (SIF) no deben ser implementadas por el Sistema Básico de Control del Proceso (BPCS). Si una señal tiene que ser usada por ambos sistemas (SIS y DCS), la interface ha de asegurar que un fallo en el DCS no perjudique al SIS. Es muy común intercambiar información entre el SIS y el DCS.

• Sólo puede ser usada una función de no-seguridad en el SIS o por el SIS si es necesaria para asegurar un paro de planta ordenado o para realizar un arranque más rápido, aunque no es aconsejable.

• La SIF debe ser diseñada de tal forma que una vez el proceso ha sido puesto en un estado seguro, la función seguirá en este estado hasta que el operador no haga un reset la función, incluso si la condición de disparo desaparece.

• Requerimientos de operabilidad, mantenimiento y de test se tendrán en cuenta durante la el diseño de las SIF con el fin de facilitar la implementación de los requerimientos de factor humano en el diseño (facilitar bypass para realizar test en línea, con indicación de alarma, etc.)

• El diseño del SIS tendrá en cuenta las capacidades y limitaciones del factor humano, y será el adecuado para las funciones asignadas al operador y personal de mantenimiento.

• Cuando sea posible, los instrumentos usados tendrán la capacidad de ir a un estado seguro predeterminado en caso de una mala función (p.ej. desenergizar para parar, válvulas con retorno por muelle, etc.).

• Para subsistemas que con pérdida de tensión no llevan el sistema a un estado seguro por un fallo se requiere que:

− La pérdida de la integridad del circuito sea detectada.

− Se asegure la tensión por el uso de un sistema redundante de tensión (p. ej. baterías, UPS1, etc.)

− La pérdida de tensión del subsistema sea detectada. • En funciones ON/OFF cada válvula tendrá su propia electroválvula. En caso de

válvulas de control es muy recomendable poner la salida del controlador en el

1 UPS (Uninterruptible Power System)


122

DCS en la dirección de la posición de seguridad adicionalmente a la electroválvula del SIS, con un retraso para facilitar la detección del fallo.

• Precisión, rango de medida, resolución y tiempo de respuesta de los instrumentos de campo han de cumplir con la función específica de seguridad.

• Se tendrán en cuenta precauciones en contra de cambios involuntarios de valores de disparo.

• El diseño del SIS tendrá en cuenta los requerimientos de mantenimiento y arranque de la planta. Se debe tener cuidado en que todos los elementos de SIS sean accesibles y puedan ser probados fácilmente.

Se recomiendan las siguientes otras medidas:

• Las Funciones Instrumentadas de Seguridad deben ser lo más simple posibles.

• Deben utilizarse valores analógicos en vez de digitales (Switches) siempre que sea posible.

• Se recomienda medidas que puedan incrementar la cobertura de diagnóstico, p.ej. a través de dos canales de comparación para señales analógicas, la señal puede ser chaqueada.

• Se debe minimizar la propagación de fallos con precauciones como desacoples por alta impedancia, aislamiento eléctrico, etc.

• Las variables de proceso, puntos de disparo u otros estados de información del SIS deberían ser visualizados en la sala de control para poder detectar posibles fallos rápidamente vía operadores.

• Las alarmas de posibles acciones de las funciones de seguridad deben ser diferentes de las funciones del control básico del proceso.

• El mantenimiento y el test de las instalaciones deberían diseñarse de tal manera que minimizasen la probabilidad de fallo peligroso durante su uso.

• En caso de energizar para disparo de una función, se debería usar diferentes bandejas de cables y fuentes redundantes de energía para los diferentes canales para evitar el fallo de ambos canales por fuego u otro daño ocurrido en la planta. Es un punto importante a tener en cuenta.

• Para minimizar la probabilidad de fallos de causa común, modo común y fallos dependientes se debe considerar:

− La independencia entre el DCS y el SIS y entre los canales.

− Uso de diferentes instrumentos/principios de medida.

− Separación física de instrumentos, como utilizando diferentes conexiones al proceso.

• Un paro manual de la planta, parte de ella o simplemente de los actuadores de seguridad debe integrar en el PLC de seguridad el pulsador de paro de emergencia.


123

Funciones de monitorización:

Las funciones monitorizadas deben formar parte del DCS, no deben estar incluidas en el SIS. Una función de monitorización nunca será una función de seguridad. Las principales razones para esta separación son:

• Como regla general, el DCS y el SIS están separados para minimizar errores potenciales en las funciones de seguridad del SIS debido a errores de operación, mantenimiento o diseño.

• Las funciones de seguridad no deben arriesgar su función por otras. Por ejemplo un cambio en una función de monitorización no debe producir un cambio en la función de seguridad.

• Por último un PLC de seguridad debe procesar y ser lo más simple posible, la complejidad de un SIS añade costes de inversión, requerimientos de test y mantenimiento y efectos no deseados que pueden provocar errores potenciales alrededor del SIS.

Bypasses:

Bypasear partes o componentes de una función instrumentada de seguridad puede poner en riesgo la seguridad, por lo que la decisión de bypasear tiene que ser estudiada con sumo cuidado durante la revisión de seguridad y puede que sea necesaria la aplicación de medidas adicionales.

No está permitido bypasear una función de seguridad en su totalidad.

Si es necesario realizar bypases para mantenimiento u operación se debe considerar:

• Bypasear una canal de una arquitectura 1ooN para mantenimiento puede ser aceptable si la seguridad no se ve afectada de forma negativa (p. ej. reparación de algún elemento tan rápido como se pueda, y dentro de un tiempo especificado de reparación.

• Bypasear en un canal 2oo3 es posible si este se lleva a un estado de “Bad value” y el resultado es de un 1oo2.

• Si por motivos que salen de la operación normal de la planta (p. ej. arranque) es necesario bypasear momentáneamente una función de seguridad. La seguridad debe ser asegurada por otros medios.

• Para bypases de operación se debe considerar:

− Que estos estarán limitados a un tiempo estipulado (p. ej. un turno).

− Que estarán claramente visualizados por el SIS.

− Que el acceso al switch de bypass está protegido (p. ej. password). • Si los test de lazo y bypases están incluidos en el diseño del SIS, y se notifica al

operador el requerimiento de bypass, este sólo puede estar activo durante un corto periodo de tiempo. Esta previsión será documentada durante el proceso de revisión de las especificaciones de requerimientos de seguridad

• Los bypases que no están descritos en el diseño del SIS, sólo pueden ser realizados si existe un procedimiento de mantenimiento o una orden de cambio escrita por el MOC (Management Of Change).


124

Bibliografía y referencias: [1] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:

Oswaldo E. Moreno, CFSE.




[5] Artículo: Implementing a suitable safety instrumented system, Autor: R. Modi, publicado en junio 2010 en la revista Hydrocarbon Processing.


7.5 Ingeniería y Diseño del SIS. El objetivo de esta fase está en diseñar el sistema instrumentado de seguridad de

acuerdo con las especificaciones de los requerimientos de seguridad (SRS) realizadas en la fase anterior del ciclo de vida de seguridad según IEC 61511.

En una primera etapa, se realizará el diseño conceptual definiendo las características técnicas, tecnologías y arquitectura del sistema de acuerdo al SIL meta determinado. El diseño conceptual debe cumplir con lo establecido en las Especificaciones de los Requerimientos de Seguridad, estudiados en el capítulo anterior. Es la guía requerida por la ingeniería que implantará el sistema y establece los parámetros de diseño para realizar y completar la ingeniería de detalle. Todo el diseño deberá adherirse a los estándares y procedimientos de la compañía propietaria de la instalación.

El diseño conceptual se puede separar en 2 partes importantes:

Hardware:

• Procesador lógico (normalmente PLC de seguridad).

• Arquitectura.

• Elementos de campo.

• Hardware adicional necesario para el correcto funcionamiento del SIS.

Software:

• Software aplicado.

• Software adicional necesario para el correcto funcionamiento del SIS.

Las tecnologías disponibles son varias –sistemas neumáticos, relés, sistemas de estado sólido, sistema microprocesadores y SPLC’s. La elección depende generalmente del tamaño del SIS y su complejidad.

La arquitectura de cada una de las funciones instrumentadas de seguridad deben cumplir con el SIL meta requerido, estas pueden ser arquitecturas con votaciones 1oo1, 1oo2, 2oo3, etc.

Una vez se ha seleccionado la arquitectura del sistema y sus componentes, se debe calcular si se alcanza el SIL objetivo, teniendo en cuenta la velocidad de fallos de sus componentes y el intervalo de pruebas de funcionalidad propuesto, esto asegura que el


125

diseño conceptual cumple con el SIL objetivo de las SRS. Se trata del tercer paso de revisión de seguridad propuesta por el ciclo de vida de seguridad del SIS y previa a desarrollar el diseño de detalle.

En el diseño y análisis de un sistema de seguridad hay que tratar diferentes factores como la tecnología a seleccionar, arquitectura de la función de seguridad, modos y ratios de fallo, diagnósticos, servicios de energía, interfaces, seguridad, intervalos de test, etc. que harán cumplir con el SIL objetivo de las SRS.

Un sistema instrumentado de seguridad se compone principalmente de 3 subsistemas: sensores, elementos finales de control y procesador lógico aparte de sistemas de soporte como aire de instrumentación o electricidad. El balance final de los fallos entre los principales subsistemas de un sistema de seguridad queda reflejado en la siguiente figura (Fuente: Offshore Reliability Database (OREDA))

Figura 7.5.1 Porcentaje de fallos de los elementos principales de un sistema de seguridad

A continuación se detallarán una serie de consideraciones generales basadas en las normas de referencia IEC 61511 y ANSI/ISA-S84 y prácticas recomendadas para poder diseñar un sistema instrumentado de seguridad que alcance el nivel de integridad de seguridad objetivo.

Bibliografía y referencias: [1] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.

2nd Edition. ISA 2006.



7.5.1 Independencia entre los componentes del SIS y del BPCS Cuando y como se pueden combinar sistemas de control y sistemas de seguridad es

un tema con cierta controversia en las industrias de proceso. Todos los estándares, prácticas recomendadas y guías en industrias recomiendan separar ambos sistemas. Aunque hoy en día los sistemas de control de proceso son altamente confiables y permiten redundancia se plantea la pregunta, ¿Por qué no?

La separación entre las funciones de seguridad y las funciones básicas de control reduce la probabilidad de que ambas no realicen su función al mismo tiempo, asimismo que cambios realizados en el sistema de control afecten al sistema de seguridad.

Sólo si se realiza un estudio que evalúe que este riesgo es aceptable, se podrán compartir parte de los equipos, ya que un fallo peligroso de un equipo común causaría un posible fallo a demanda de la función del sistema de seguridad, por lo que se introduce un


126

nuevo riesgo. Este nuevo riesgo depende del ratio de fallo del componente común, ya que si el componente común falla a demanda, la función del SIS no será capaz de responder a la situación peligrosa. Por esta razón es preciso un estudio que asegure que el ratio de fallo peligroso del componente común es suficientemente bajo.

Dentro de los componentes utilizados en un SIS podemos diferenciar dos tipos de separación para la redundancia. La separación idéntica, debe constar de dos o más componentes idénticos e independientes entre sí. La separación diversa debe constar de dos o más componentes diferentes (diferente tecnología, configuración, etc.) e independiente entre sí, este tipo de separación reduce la probabilidad de fallos sistemáticos y los fallos de causa común.

Podemos decir que existen 3 partes de un sistema donde es plausible la separación entre el BPCS y el SIS y que deben ser evaluadas para asegurar el cumplimiento con el SIL meta de cada función de seguridad, estas son:

• Sensores y elementos finales de control

• Revolvedor lógico

• Comunicaciones entre el SIS y el BPCS y otros elementos

En resumen, se adopta que los sistemas de seguridad deben ser completamente independientes del sistema de control. Si se precisa compartir entre ambos sistemas algún elemento, la función instrumentada de seguridad ha de ser evaluada y siempre tendrá preferencia sobre el sistema de control.

7.5.2 Identificación y etiquetado de las Funciones Instrumentadas de Seguridad y Sistemas Instrumentados de Seguridad

Todos los componentes de un Sistema Instrumentado de Seguridad y todos los componentes de un SIS (transmisores, equipos y suministros de energía, entradas/salidas de un SPLC1, etc.) deben estar claramente marcados.

• En la documentación: diagramas P&I, lista de tags2 de los sistemas instrumentados, diagramas lógicos, hojas de test, etc. Una forma de indicar que un lazo pertenece a un sistema instrumentado de seguridad es relacionarlo con líneas discontinuas desde un indicador en forma de rombo que indica a que sistema pertenece (parte superior del rombo la letra S y la inferior el sistema a que pertenece) y que función realiza (HH (enclavamiento por valor alto alto), H (enclavamiento por valor alto), L (enclavamiento por valor bajo), LL (enclavamiento por valor bajo, bajo) (ver figura 7.5.2).

1 SPLC: PLC de seguridad. 2 Se entiende por tag la etiqueta que da nombre al lazo de control y al instrumento.


127

Figura 7.5.2 Tag de lazos de seguridad en P&ID’s.

Otra forma de expresar el “tag” del lazo con la letra Z (FICZSHHA, lazo de control de caudal con paro por enclavamiento por caudal alto alto y alarma). Como podemos observar la forma de denominar a los elementos de seguridad de un SIS depende de cada compañía y de la normativa en la que se apoyen (DIN, ISA, etc.).

• En la planta: los elementos físicos han de estar debidamente etiquetados en campo (ver figura 7.5.3). Por ejemplo mediante un triángulo con la letra A insertada en su interior que indica que pertenece a un lazo de seguridad Clase A y de acuerdo a lo indicado en los diagramas P&I y a la lista de “tags”. Los cables también se etiquetarán con el mismo tag que en el diagrama P&I.

Figura 7.5.3 Etiquetaje en planta equipos de seguridad

7.5.3 Sensores de campo Como regla general, el 90% de los fallos del sistema se deben a los sensores y

elementos finales de control y solo el 10% restante se deben al sistema lógico (ver figura 7.5.1 del capítulo 7.5). Estos números son solo una aproximación ya que pueden variar según la tecnología y configuración adoptada.


128

En general los sensores son usados para medir temperatura, presión, nivel, flujo, concentración, etc. Estos pueden ser discretos, cambian de estado cuando se alcanza un set point o analógicos, dan una salida variable en relación a la variable de proceso.

En sistemas de seguridad existen dos categorías de fallo principales que afectan a un sensor. Puede ser un fallo seguro (fail safe) cuya causa nos llevará a un paro no esperado de la planta, ejemplo de un cambio de estado del sensor sin que suceda un cambio en la variable de proceso. O puede ser un fallo peligroso, por ejemplo que falle la respuesta a una demanda actual o cambio de la variable de proceso sin indicación por parte del sensor. Está claro que un sensor puede fallar por diferentes razones: corrosión en los contactos, suciedad en el contacto, termopares quemados, salidas erráticas, transmisores inteligentes (smart transmitter) en modo salida forzada, bloqueo de las líneas de proceso del transmisor, etc.

El modo normal y recomendado por la mayor parte de compañías es diseñar el sistema instrumentado de seguridad para que funcione en modo fail-safe, para asegurar que los fallos sean siempre seguros. Esto quiere decir que cualquier anomalía en la función de seguridad que no responda a una situación peligrosa en el proceso provocará llevar el propio proceso a un estado seguro, puede implicar el paro de planta, es decir provocará paros no deseados, molestos (spurious trip). Para minimizar estos paros no deseados existen diferentes medidas a adoptar:

• Uso de tecnología fiable, selección de equipos “uso probado1” o basados en una certificación IEC 61508.

• Uso de estructuras multicanal (p.ej. votaciones 2oo3).

• Realizando instalaciones apropiadas de los equipos (p.ej. uso de tubing de acero inoxidable en lugar de plástico).

Requerimientos básicos para un sistema en operando en modo fail-safe:

• Los sensores de contacto serán cerrados y energizados en condiciones normales de operación del proceso.

• Las señales de los transmisores analógicos irán al punto de disparo bajo cualquier fallo, a no ser que sea detectado por el sistema para que se tome una acción correctiva.

• Los contactos de salida del sistema lógico en operación normal del proceso estarán energizadas y cerrados.

• Los elementos finales a fallo de aire irán a la posición de seguridad (p.ej. válvulas).

• Otros elementos finales como motores o turbinas se pararán.

El modo de fallo de los transmisores debe ser descrito en el documento SRS (especificaciones de los requerimientos de seguridad), ya que para un estado seguro del proceso, un transmisor en caso de fallo puede requerir ir a su estado bajo (Low) o alto (High), dependiendo de su punto de disparo de seguridad.

1 Equipos “uso probado” (proven in use) son equipos aceptados por la IEC 61511 para el diseño de

sistemas de seguridad y basados en los años de experiencia de las empresas en el uso de un equipo sin fallos peligrosos y adecuadamente documentado, aún cuando no cuente con certificación de seguridad.


129

Hay que tener gran cuidado a la hora de elegir los sensores, ya que la precisión de sus medidas depende del rango en que trabajen. Así un sensor diseñado para medir presiones de hasta 15 bares, no es capaz de medir intervalos de 5 milibares.

Se ha de evitar compartir sensores entre el BPCS y el SIS. Cuando utilizamos sensores redundantes y compartimos elementos de campo entre el BPCS y el SIS, un fallo en el BPCS no debe inhibir el correcto funcionamiento del SIS, por lo que un aislador de señal debe ser instalado entre el BPCS y el SIS.

Siempre que sea posible se utilizarán sensores y transmisores2 analógicos ya que estos presentan las siguientes ventajas ante los sensores de contacto:

• Tenemos indicación de la variable de proceso, por lo que nos dará una idea de si su funcionamiento es correcto. Con un switch se debe hacer un test para saber si es correcto su posición.

• Fácil de realizar un test parcial de la medida online –el setpoint de disparo del controlador puede ser modificado-.

• Posibilidad de realizar diagnósticos.

• Menor tasa de fallos peligrosos y seguros.

• Podemos comparar la señal con la del BPCS.

• Mejor precisión, rangeabilidad y fiabilidad que un switch.

• Un único transmisor puede sustituir algunos switches.

• El controlador puede ser bloqueado por seguridad.

Es muy interesante el uso del protocolo HART (Highway Addressable Remote Transducer) junto con transmisores inteligentes ya que son capaces de darnos a través de la señal 4-20 mA una serie de datos con los que podemos realizar diagnósticos y detectar alguno de los siguientes fallos de señal:

• Funcionamiento no correcto del transmisor.

• Señal de entrada del sensor fuera de rango.

• Señal de salida del transmisor congelada.

• Salida analógica fuera de rango.

Solamente utilizando estos cuatro diagnósticos podemos incrementar aproximadamente en un 20% la cobertura de diagnóstico (DC) del transmisor. La realización de un análisis de modos de fallo, efectos y diagnósticos (FMEDA) nos dará el nivel de cobertura de diagnóstico del transmisor. Muchos fabricantes proveen evaluaciones realizadas por terceros (EXIDA es un ejemplo) donde se incluye el FMEDA de diferentes equipos utilizados en SIS.

2 El transmisor lo podemos considerar como parte del sensor y es el que nos da la señal analógica en

relación a la variable física que pretendemos medir.


130

7.5.3.1 Transmisores inteligentes

Se trata de transmisores con diagnósticos adicionales y comunicación digital en lugar del convencional transmisor analógico con solo una salida 4-20 mA. Las ventajas de estos transmisores son:

• Mayor precisión.

• Excelente estabilidad.

• Mejora sustancialmente los diagnósticos, podemos llegar a unos factores de cobertura de diagnóstico y fracción de fallo seguro (SFF) mayores al 80%.

• Mayor predicción de modo de fallos.

• Capacidad de hacer mantenimiento y calibración de forma remota (uso de protocolo HART) con las ventajas que conlleva el no tener que ir a campo para realizar mantenimiento3.

Como desventajas para la seguridad funcional destacamos:

• Fácil de dejar el instrumento en modo test o modo salida forzada.

• Coste, son más caros que los transmisores convencionales.

• La respuesta puede ser más lenta que los transmisores convencionales analógicos.

Pese a las desventajas cada vez más se están utilizando transmisores inteligentes en aplicaciones de seguridad.

7.5.3.2 Diagnósticos de sensores

Mejorando los diagnósticos (aumenta la cobertura de diagnóstico) de un sistema de seguridad, mejoramos la seguridad del sistema. En otras palabras, reducimos la probabilidad de fallo en demanda (PFD). Las siguientes fórmulas nos muestran el impacto de la cobertura de diagnóstico en el ratio de fallos peligrosos:

λdd = λd * DCd (1)

λdu = λd * (1 – DCd) (2)

λd = λdd + λdu (3) DCd; Factor de cobertura de diagnóstico de fallos peligrosos

λd; tasa de fallos peligrosos

λdu; tasa de fallos peligrosos no detectados

λdd; tasa de fallos peligrosos detectados

λs; tasa de fallos seguros

λsd; tasa de fallos seguros detectados

λsu; tasa de fallos seguros no detectados

3 El ajuste de los parámetros de proceso ha de estar protegido y bajo control para evitar cambios no

autorizados.


131

Si incrementamos el factor de cobertura, incrementa la tasa de fallos peligrosos detectados y decrece la tasa de fallos no detectados. Notar que la tasa de fallos peligrosos total no cambia con los diagnósticos, lo que mejora es el porcentaje de fallos que son detectados.

La importancia de los diagnósticos reside en la posibilidad de no parar la producción por un fallo en un sensor y generar solo una alarma para que este sensor sea reparado. El sistema puede bypasear la señal mientras se realiza la reparación. Para realizar el bypass deben existir procedimientos que asegure la seguridad del proceso mientras el equipo está en bypass.

Otro parámetro muy utilizado para indicar la efectividad del diagnóstico es la fracción de fallo seguro (SFF) y se define como la razón entre la tasa promedio de fallos seguros más tasa promedio de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del sistema. El SFF puede ser determinado para cada componente del sistema (sensor, elemento final, SPLC).

duddsusd

ddsusdSFFλ+λ+λ+λ

λ+λ+λ= (4)

El mantenimiento periódico y el test manual del equipo pueden ser reducidos mejorando los diagnósticos del sensor. Los transmisores inteligentes aportan un gran nivel de diagnóstico que mejora sustancialmente el factor de cobertura y por tanto el SFF.

Resumiendo podemos decir que el diagnóstico en línea permite:

• Reparación rápida de las unidades en fallo, por lo que reduce el tiempo de operación en modo degradado (capítulo 7.5.6 Requerimientos para la Tolerancia a Fallos Hardware (HFT))

• Conversión de los fallos peligrosos en fallos seguros.




[3] Seminario: Descripción general de la Seguridad. EMERSON Process Management, Tarragona, Junio 2006.

[4] Fiabilidad y Seguridad: Su aplicación en procesos industriales. Antoni Creus i Solé. 2ª edición. MARCOMBO, 2005.

7.5.4 Elementos finales de control Los elementos finales de control son equipos utilizados para realizar un paro seguro

del proceso y alcanzar un estado seguro. El elemento final de control más común es la válvula de cierre y control operada por válvulas solenoides (electroválvulas).

Normalmente los mayores fallos de todo el lazo de seguridad se dan en los elementos finales (50%) (Ver figura 7.5.1 del capítulo 7.5), ya que son componentes mecánicos sometidos muchas veces a condiciones severas de procesos. Las válvulas normalmente se encuentran en condiciones normales de proceso abiertas o cerradas (en menos casos) y no


132

actúan durante largos periodos de tiempo. Un fallo típico peligroso que pueden tener es el atasco o bloqueo que en situación de demanda hará que la válvula no actúe. Un fallo típico seguro es la pérdida o fallo de la bobina de la electroválvula, cosa que al estar energizada en condiciones normales de operación nos llevaría a un paro no deseado de la planta, pero no a un estado peligroso (la válvula se irá a su estado de seguridad prefijado).

Todas las válvulas a pérdida de alimentación de aire deben ir a su posición de seguridad (fail safe), el actuador de estas válvulas será de simple efecto con retorno por muelle. Válvulas de doble efecto (aire para abrir y aire para cerrar) solo se utilizaran cuando, por seguridad, se requiera mantener la última posición en caso de fallo de aire.

Modos típicos de fallo en las válvulas son:

Válvulas solenoides (electroválvulas):

• Bobina fuera de servicio, agotamiento de la bobina.

• Taponamiento de las vías y purgas de la válvula solenoide.

• Corrosión de los terminales.

• Ambiente hostil y/o calidad baja del aire de instrumentación que provoca un agarrotamiento de la válvula solenoide.

Válvulas de corte:

• Fuga en la válvula.

• Incorrecta selección del tamaño del actuador que resulta incapaz de mover la válvula a su posición segura a falta de aire.

• Atasco del vástago o asiento de la válvula.

• Atasco de la válvula.

• Taponamiento o rotura de la línea de aire de alimentación al actuador.

Las válvulas de control del BPCS dan la sensación de que continuamente se están probando en el proceso normal de operación al estar en continuo movimiento y por tanto- ¿por qué no utilizarlas como válvulas de corte? No es una práctica recomendable. Como vimos en el capítulo 7.5.1 se recomienda independizar los equipos del sistema de seguridad y del sistema de control. Además sabemos que los elementos finales de un lazo de seguridad son los equipos que proporcionan más fallos en un sistema y las válvulas de control no suelen estar diseñadas para la seguridad (no contemplan parámetros como rapidez de respuesta, resistencia al fuego, clase de fugas cero, etc.).

A pesar de todo pueden ser utilizadas en seguridad en casos en que no sea práctico instalar una válvula adicional de corte, o el coste de su instalación no compensa la seguridad que se pueda alcanzar. Para estos casos se estudiará la conveniencia o no de la instalación y se incluirán recomendaciones como instalación directa de la válvula solenoide al actuador bypaseando el posicionador, uso de redundancia para las válvulas solenoides. Las válvulas solenoides han de garantizar una respuesta rápida del actuador.

En todo caso el uso de una válvula compartida por ambos sistema debe asegurar que los riesgos asociados son aceptables y debe estar debidamente documentado.

El siguiente apartado se describe una serie de acciones que ayudan a detectar fallos en válvulas.


133

7.5.4.1 Diagnósticos de válvulas

Durante la operación normal1 las válvulas de corte permanecen estáticas, en posición abierta o cerrada, y no tienen ninguna actuación durante largos periodos de tiempo y solo se mueven si han de actuar o si se realiza algún tipo de prueba. Es recomendable que en operación normal y cuando se actúa la válvula se realice algún tipo de diagnóstico que nos permita evaluar el estado de la instalación, con lo que aumentaremos la cobertura de diagnóstico y disminuiremos la probabilidad de fallo en demanda, por degradación de la instalación.

Técnicas que se pueden realizar en operación normal para diagnosticar el estado de la válvula:

• Prueba manual online (ver capítulo 7.5.12 Mantenimiento y pruebas funcionales).

• Uso de posicionadores inteligentes (DVC6000 de EMERSON, SVPII de MASONEILAN, etc.).

• Alarmas de cambio de estado de la válvula sin que exista señal del sistema lógico (p. ej. con finales de carrera).

• PST (test de recorrido parcial).

Técnicas cuando el sistema de seguridad se ha activado:

• Utilización de finales de carrera en válvulas que nos dan un feedback para saber si la válvula ha operado correctamente o no. Es el método más utilizado aunque no siempre sea efectivo si la válvula no ha realizado ningún movimiento en un largo periodo de tiempo.

7.5.4.2 Posicionadores inteligentes en válvulas

Cada vez más se empiezan a utilizar posicionadores inteligentes para válvulas de corte con el objetivo de obtener datos adicionales para un correcto diagnóstico. Estos pueden ser utilizados únicamente para dar diagnósticos o también para que den la acción de paro en caso de demanda. La información que nos pueden dar y que más nos puede interesar es:

• Feedback de la posición

• Problemas con el suministro de aire o con le actuador

• Estado de los finales de carrera

• Estado de la posición de la válvula

• Alarma y diagnóstico propio del posicionador • Etc.

La mayor parte de estos posicionadores pueden realizar la función del PST (partial Stroke Test) sobre las válvulas de corte, tanto localmente como remotamente.

Como punto en contra es el alto precio de estos posicionadores que hace que no sean atractivos económicamente.

1 Para un Sistema de Seguridad la operación normal del proceso corresponde a un estado estacionario


134

7.5.4.3 Test de recorrido parcial (PST – Partial Stroke Test) El PST consiste en mover la válvula de corte que trabaja en demanda (un 10 % es lo

más común) y volver a su posición normal. Todo este movimiento se monitoriza. Con esto podemos verificar el movimiento libre de la válvula. Esta prueba se realiza en operación normal de proceso y siempre que el proceso tolere el pequeño cambio de flujo que representa. En válvulas de paso reducido no podrá realizarse el PST si una pequeña variación de la carrera de la válvula perturba considerablemente el paso de flujo.

Realizando el PST en plantas continuas se pueden lograr aproximadamente un 70% de la cobertura de diagnóstico en válvulas.

El PST verifica que la válvula está trabajando sin parar el proceso, pero no puede confirmar el 100% de los fallos potenciales, como la válvula no puede cerrarse completamente, no podemos verificar fugas en el cierre, la carrera completa del vástago, la indicación del final de carrera de cerrar, etc., esto se comprobará con la planta parada y realizando un Full Stroke Test (FST)

El PST gana popularidad al final de los años 90 debido sustancialmente a 2 motivos: el extracoste que representa poner válvulas redundantes, sobre todo si tienen un tamaño considerable (6 pulgadas o más) y la imposibilidad de realizar un recorrido total de la válvula en operación normal (p. ej. trimestralmente) para comprobar su correcto funcionamiento y que, por tanto, cumpla con el SIL meta establecido.

Impacto del PST en la reducción del PFDavg a través de un caso práctico:

Datos: Válvula con un MTTFdu (fallos peligrosos) de 40 años. Anualmente se realiza una prueba total de la válvula (Full Stroke Test):

duMTTFdu λ/1= (1)

)2/TI(duPFDavg ∗λ= (2)

);2/1()40/1( añoañosPFDavg ∗= 2E25.1PFDavg −=

1SIL80PFD/1RRF ⇒==

Estamos asumiendo que la válvula no tiene diagnósticos automáticos (todos los fallos peligrosos no son detectados) y que la prueba anual es 100% efectiva, el test revelará todos los fallos. Como vemos el resultado entra dentro del rango de SIL 1 (sólo la válvula, no un sistema entero). El aumentar el intervalo de test total solo provocará degradar más el sistema de seguridad, hace el RRF más pequeño.

Un modo de fallo normal para una válvula normalmente abierta es el atascamiento o agarrotamiento del actuador o bien del elemento de corte del paso de caudal (bola, globo, mariposa, etc.). Con el PST detectaremos este tipo de fallos sin alterar la operación normal de la planta. La fórmula simplificada de cálculo del PFDavg cuando realicemos pruebas parciales será la siguiente:

( ) ( )( )2212

1 TIdDCTIdDCPFDavg ∗∗−+∗∗= λλ (3)

DC = Factor de cobertura de diagnóstico

TI1 = Intervalo del PST

TI2 = Intervalo del FST


135

DC1 representa el porcentaje de fallos que el PST es capaz de revelar, es el % de efectividad de la prueba. DC es un valor difícil de estimar. Está en el entorno del 60 al 90%. Hay diferentes reglas que vienen dadas por los intervalos de test. Hay fabricantes que según los intervalos de test definen unas tablas con el DC. Así podemos considerar que si realizamos un PST mensualmente y un FST (test completo) anualmente el DC es de 80%. Por tanto si recogemos estos datos:

De la ecuación (3) extraemos:

( ) ( )( )( ) ( )( );2/año1años40/12.02/años12/1años40/18.0PFDavg ∗∗+∗∗=

PFDavg = 8.3E-4 + 2.5E-3 = 3.3E-3

2SIL300PFD/1RRF ⇒==

Jugando con los intervalos de test del PST y FST podemos variar el factor SIL del componente.

Hemos hecho un estudio numérico donde vemos las ventajas de realizar el PST, vamos ahora a intentar plasmar la intención de estos cálculos de una manera gráfica. Para ello partiremos de la ecuación simplificada de la probabilidad de fallo de una válvula o lo que es lo mismo la no fiabilidad.

F(t) (Unreliability) No-fiabilidad: probabilidad de fallo durante un intervalo de tiempo dado.

R(t) (Reliability) fiabilidad: probabilidad de éxito durante un intervalo de tiempo dado.

( ) tetF λ−−= 1 (4) ( ) tetR λ−= (5)

donde λ (cte.) es la tasa de fallos del componente

Una aproximación útil que se realiza es la siguiente:

xexxxxe xx +≈⇒+++++≈ 1...!4!3!2

1432

;

te t λλ −≈− 1 ;

1 Existen numerosas bases de datos (p. ej EXIDA) así como software especializado en cálculo de PFD,

factores SIL, etc. (p. ej. EXSILENTIA de EXIDA) que tienen tabulados los valores de DC dependiendo de los intervalos de test que se practiquen.


136

( ) ( ) ttFetF t λλ ≈⇒−= −1 (6)

Aproximación válida para probabilidades menores de 0,2 que es donde nos moveremos

Por tanto la probabilidad de fallo media será:

( ) dt*tPF*T1PFavg

T

0∫= ;

( ) ttPF *λ≈ (7)

2/TI*PFavg λ≈ (8)

Por tanto con aproximaciones, cada vez que hacemos un test total de la válvula esta vuelve a su valor inicial de probabilidad de fallo, con lo que la probabilidad de fallo media se mantiene en un valor que depende del intervalo de tiempo entre pruebas.

Con el PST la probabilidad de fallo de la válvula no vuelve al punto original (0) sino

que queda un residuo de probabilidad de fallo, ya que no es posible diagnosticar todos los fallos posibles. El punto inicial de probabilidad de fallo se desplaza según el factor de cobertura de diagnóstico (DC) que obtengamos fruto del periodo de test y de las condiciones de la válvula (son datos que obtenemos de bases de datos como EXIDA y algún fabricante). La siguiente gráfica sintetiza la ecuación (3) de este apartado.


137

¿Qué conseguimos con el PST?

Verificar la válvula sin parar el proceso, aunque no es una prueba total que compruebe al 100% los fallos potenciales.

Como nos ayuda el PST a mantener o conseguir el índice SIL meta especificado:

El esquema anterior refleja cómo podemos mantener un SIL 3 si hacemos

trimestralmente un PST y anualmente un FST (prueba total). Vemos que si no se hiciese el PST el índice SIL se degrada a un nivel de integridad 2.

El PST también se puede utilizar para lograr alargar el periodo de pruebas del 100% que implican paro de la instalación. El siguiente caso tenemos una válvula con índice SIL de 2 y vemos que realizando un PST trimestralmente podemos alargar la inspección total de la válvula a 2 años.


138

Indicar que todos estos cálculos de verificación para ver si una función

instrumentada de seguridad alcanza el SIL objetivo especificado se realizan mediante software especializados en tema de seguridad funcional y que contienen bases de datos de diferentes organizaciones, fabricantes y normas donde se incluyen todos los datos referentes a confiabilidad y operabilidad de todos los componentes susceptibles de ser utilizados por un Sistema Instrumentado de Seguridad y que automáticamente generan todos los documentos que requiere la norma. Un buen ejemplo de este software y probablemente el más utilizado sea EXSILENTIA1 –SILect + SRS + SILver, perteneciente a EXIDA.

La siguiente tabla muestra los modos típicos de fallo de los elementos finales y la detección del fallo con diferentes estrategias de pruebas.

Modo de Fallo Efecto PST FST

Pérdidas del aire de instrumentación

Movimiento lento de la válvula para abrir o cerrar

Detectable. Se reporta como un evento.

Detectable.

Línea de aire al actuador bloqueada

Válvula falla a cerrar (o abrir)

Detectable. Movimiento limitado

Detectable.

Empaquetaduras muy apretadas

Movimiento lento de la válvula para abrir o cerrar

Detectable. Se reporta como un evento.

Detectable.

Vástago atascado Válvula falla a cerrar (o abrir)


Detectable.

1 EXSILENTIA es un paquete software realizado por EXIDA de generación y documentación en

selección y verificación del SIL y SRS.


139

Actuador/válvula atascada

Válvula falla a cerrar (o abrir)


Detectable.

Asiento válvula dañado

Válvula presenta fugas No detectable. Detectable. Precisa prueba

con medición de fugas

Asiento válvula sucio o endurecido

Válvula presenta fugas No detectable. Detectable. Precisa prueba

con medición de fugas

Tamaño actuador inapropiado para operar en condiciones de emergencia

Válvula no cierra (o abre) No detectable Detectable




[3] Seminario: Descripción general de la Seguridad. EMERSON Process Management, Tarragona, Junio 2006.


[5] Seminario: PAS Process Safety Seminar. Luis García (CFSE). Automation and Drives, SIEMENS. Tarragona, abril 2008.

[6] The effects of Partial Stroke Testing on SIL level, EXIDA. www.exida.com

7.5.5 Tecnología de control. Selección Existen varias tecnologías de control disponibles utilizadas en sistemas

instrumentados de seguridad: neumáticas, tecnología con relés electromecánicos, tecnología de estado sólido, y PLC’s (controladores lógicos programables). No hay un mejor sistema en general. Cada uno tiene ventajas y desventajas. La decisión sobre qué sistema es el más adecuado para la aplicación depende de muchos factores tales como el presupuesto, el tamaño, el nivel de riesgo, la flexibilidad, la complejidad, el mantenimiento, comunicaciones y requerimientos de interfaz, etc. y por supuesto la política de estandarizar equipos dentro de la compañía, es decir, que para el diseño de los sistemas de seguridad de sus plantas sólo se acepten ciertas tecnologías y homologue 2, 3 o como mucho 4 equipos diferentes, esto es una norma común de empresas multinacionales como EXXON, BASF, DOW, BAYER, REPSOL, BP, etc…

Los sistemas neumáticos aunque no muy usados actualmente, son equipos perfectamente apropiados para ciertas aplicaciones. Los sistemas neumáticos son típicamente usados en aplicaciones pequeñas donde se requiere simplicidad, seguridad intrínseca y donde no se dispone de posibilidad de suministro de energía eléctrica en la zona de aplicación. Una aplicación común ha sido la industria offshore (plataformas petrolíferas fuera de costa), donde los sistemas deben funcionar sin energía eléctrica. Son sistemas fail-safe, un fallo o fuga resulta en el sistema una despresurización iniciando el


140

paro seguro de la planta. Precisa de gas seco y limpio. Un mal secado o filtrado del gas puede ocasionar fallos en el sistema peligrosos como bloqueos de válvulas, obstrucciones de línea, corrosión, etc. que hacen que el sistema no pueda funcionar cuando sea requerido. Para evitar estos problemas se requieren frecuentes pruebas de funcionamiento (de forma estándar mensualmente).

Los sistema con relés (aparecen en los años 60) se basan en lógica cableada cuyos principales elementos son relés. Se utilizan en sistema muy pequeños (menos de 15 I/O). Son seguros y pueden alcanzar requerimientos SIL 3 si se realiza un diseño correcto. Tienen un coste bajo, son inmunes a la mayoría de la interferencias EMI/RFI, pueden trabajar a diferentes rangos de tensión y poseen un tiempo de respuesta rápido (más rápido que un PLC). Se trata de un sistema fail-safe, esto significa que el modo de fallo es conocido y predecible si trabajamos con relés de seguridad.

Como principales inconvenientes encontramos:

− Paros molestos (spourious trips). Los sistemas con relés no suelen ser redundantes, por lo que un fallo en un relé puede resultar un paro del proceso.

− Complejo para sistemas grandes. Como mayor sea el sistema menos manejable será, la lógica relé se complica hasta el punto de llegar a perder la trazabilidad en un seguimiento del circuito. Un sistema de 15 I/O es trazable. Un sistema de 500 I/O es prácticamente imposible de seguir.

− Cambio de lógica manual. Cualquier cambio de la lógica requiere un cableado y un cambio de documentación manual. El tener la documentación actualizada requiere un gran esfuerzo y un estricto seguimiento de los procedimientos. Imaginemos cientos de relés conectados entre ellos en un panel, es difícil de seguir, difícil de documentar y difícil de manipular. Estos problemas, junto con otros, fueron los que llevaron al desarrollo de los PLC.

− No existe interfaz de comunicación. No existe la posibilidad de comunicación con otros sistemas.

− No incorporan ningún estándar para realizar test y bypases. Estos se pueden realizar incrementando considerablemente la complejidad y el coste de los paneles.

− Solo admite señales digitales. No está pensado para la utilización de señales analógicas de forma segura (fail-safe)

Sistemas de estado sólido (surgen en los años 70). Son lógicas cableadas sin software y están basadas en relés de estado sólido. Los sistemas de estado sólido (tecnología CMOS) fueron diseñados para sustituir a los relés. Aunque aún hoy en día son utilizados para pequeñas aplicaciones empiezan a estar en desuso. El principal defecto de los sistemas de estado sólido es que la probabilidad de modo de fallo es de 50/50 (50% fail safe y 50% fallo peligroso).

Principales ventajas:

− Capacidad de test y bypass. Los sistemas de estado sólido dedicados a seguridad incluyen estándar de test y posibilidad de bypasear (con llaves).

− Comunicación serie. Algunos sistemas tienen la posibilidad de realizar comunicación con sistemas externos, normalmente usado para alarmas y para visualizar el estado del sistema.

− Sistemas rápidos. Pueden llegar a ser más rápidos que un PLC.


141

− Sistemas diseñados para altos niveles de integridad de seguridad.

Principales inconvenientes (muy similares a los del sistema relé):

− Complejidad. Son sistemas cableados, por lo que los paneles suelen ser complejos de seguir y cualquier modificación ha de ser cableada y documentada manualmente.

− Lógica binaria. Son sistemas que se basan en la lógica ON/OFF como los relés. No son capaces de realizar control analógico ni PID, aunque son capaces de adaptar señales analógicas de entrada sin que puedan ser utilizadas en aplicaciones con funciones matemáticas.

− Alto coste. Son sistemas muy caros, en muchos casos más caros que un PLC con redundancia triple.

Los primeros usos de los sistemas de estado sólido fueron en aplicaciones pequeñas que requerían un alto nivel de seguridad, incluso SIL 4.

Como hemos comentado la utilización de estos sistemas están en desuso. Sólo para muy pequeñas instalaciones y para quienes no quieran depender de un software se utilizan los sistemas con relés o los sistemas estado sólido, y entre ambos para aquellos que quieran más funcionalidad se utilizarán los sistemas estado sólido.

Sistemas basados en PLC’s. Tecnología que aparece en los años 80. Desde su aparición han sido ampliamente utilizados en aplicaciones de protección y seguridad. Son sistemas basados en software que requieren programación ofreciendo un gran número de ventajas como:

− Coste razonable.

− Facilidad y flexibilidad para hacer cambios.

− Permite la comunicación serie con otros sistemas.

− Fácil documentación.

− Ocupan un tamaño reducido.

− Interfaz con el operador.

Sin embargo el diseño inicial del PLC no estaba concebido para aplicaciones de seguridad y eran utilizados en tareas para las que no habían sido concebidos. Muchos PLC´s no tenían la capacidad de realizar diagnósticos, no eran fail-safe, es decir, no garantizaban el conmutar a una posición segura en caso de fallo, ni podían ofrecer un nivel de redundancia para ser usados por encima de SIL 1.

Los principales modos de fallo detectados en los PLC’s y que por tanto no aconsejaban su uso para seguridad fueron los siguientes:

− La CPU deja de ejecutar el programa.

− Las entradas/salidas dejan de verificar los valores de proceso actuales, por lo que las decisiones son tomadas en base a unos datos no reales.

− Las señales digitales de entrada pueden quedar en posición abierta “0” o en posición cerrada “1”, por lo que la CPU no recibe el valor real del proceso.

− Los valores de salida digitales quedan congelados en un valor “0” o “1” no respondiendo a las órdenes de la CPU.


142

− Un fallo en la memoria de la CPU hace que el programa se ejecute de forma no correcta.

− La ejecución del programa se puede detener por fallo del temporizador guardián.

Para solucionar estos problemas se empezó a desarrollar lo que actualmente se conocen como PLC’s de seguridad (SPLC1). Actualmente es la tecnología de control más utilizada.

PLC’s de seguridad. Los PLC’s de seguridad (también conocidos como PES Programmable electronic systems, IEC 61508) aparecen a finales de la década de los 80 y como principales rasgos incorporan un alto nivel de diagnósticos, implementan redundancia, y son PLC’s certificados por entidades independientes (TÜV, FM).

Aparece el término redundancia y técnicas de diagnóstico para mejorar seguridad y disponibilidad de PLC’s de seguridad. Se tratan de sistemas TMR (Triple Modular Redundant), sistemas que triplican los PLC’s y realizan una votación 2oo3. Introducidos a final de la década de los 80 fueron los primeros sistemas diseñados para aplicaciones de seguridad. Al tener los circuitos triplicados y poder realizar cierto grado de diagnósticos en cada entrada/salida, módulos y circuitos funcionales, ciertos fallos son detectados y reportados en forma de alarmas. Se trata de sistemas que alcanzan SIL 3 y están certificados por TÜV. Como ejemplo tenemos el TMR Tricon de Triconex (INVENSYS).

Posteriormente en los años 90 aparecen sistemas que incorporan un alto grado de autodiagnósticos (D) que unido a una votación 1oo2D o DMR dan niveles comparables de disponibilidad y seguridad con más tolerancia a fallos y menos coste que los sistemas TMR. También son sistemas certificados por TÜV y de acuerdo con los estándares IEC 61508 para cumplir con SIL 3. Ejemplo de estos sistemas son: FSC de Honeywell, Master Safeguard de ABB y el H41q/H51q de Hima.

Una última generación de PLC’s de seguridad empieza a surgir en el año 2000. Emplea un altísimo grado de diagnóstico (D) para alcanzar altos niveles de seguridad funcional. La redundancia es opcional para alcanzar alta disponibilidad ya que al ofrecer tan alto grado de diagnóstico no es necesaria la votación entre elementos para alcanzar niveles de integridad SIL 3. Son sistemas altamente modulares y escalables. Ofrecen una alta integración con el DCS. Algunos Incorporan tecnologías de bus de campo (profisafe DP) y herramientas avanzadas de programación. Son sistemas tolerantes a más de un fallo a la vez. También son sistemas certificados por TÜV y de acuerdo con los estándares IEC 61508 para cumplir con SIL 3. Ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de Siemens, DeltaV SIS de Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de Yokogawa.

Estos sistemas de última generación son los llamados sistemas FMR (Flexible Modular Redundancy).

En resumen existen diferentes tecnologías de control para aplicar en nuestros sistemas de seguridad. La elección de cada una de ellas depende del grado de seguridad que queramos obtener, de la inversión que se quiera realizar y de la cantidad de variables que se quieran controlar.

Como el mercado es muy amplio las compañías crean estándares propios basándose en las normas y guías existentes (IEC 61511, IEC 61508, etc.) y que cumplen con las

1 SPLC (Safety PLC), PLC de seguridad.


143

directivas existentes (ej. Seveso II en Europa). En estos estándares se marcan que productos pueden ser utilizados en sus instalaciones y de qué forma para poder cumplir con el SIL meta establecido en el análisis de riesgos. Hoy en día, la tecnología preferida por la mayoría de las empresas para nuevas aplicaciones SIS son los PLC’s de seguridad (PES, programmable electronic systems) por modularidad, disponibilidad de operación y de seguridad, alta capacidad de diagnósticos programables y facilidad de integración y programación. Estamos hablando siempre de SPLC’s certificados por organizaciones independientes como TÜV o la americana FM.




7.5.6 PLC de seguridad Si hablamos exclusivamente de sistemas programables electrónicos (PES) también

conocidos como PLC’s de seguridad todos los requerimientos del PES a utilizar en el sistema de seguridad deben estar especificados en las especificaciones de los requisitos de seguridad (SRS). Como requerimientos básicos contemplamos los siguientes:

− Por lo general una empresa ha de elegir un SPLC aprobado por un organismo certificado (TÜV, FM), de forma que cubra hardware, firmware, software de ingeniería y utilidades de comunicación.

− Las funciones automáticas de diagnósticos deben poder ser realizadas por el programa de aplicación, aunque ya disponga de un alto grado de diagnósticos.

− El estado seguro de un SPLC y de los elementos de campo conectados a él debe ser desenergizado o bajo (0).

− Las señales implementadas serán, si es posible, analógicas para facilitar los diagnósticos.

− La conexión de elementos de campo redundantes al SPLC se realizará en tarjetas de entrada o salida diferentes para aumentar disponibilidad y seguridad y evitar fallos de causa común. Estas señales redundantes deben ser comparadas por discrepancia en la aplicación software del SPLC. Los requerimientos para la conexión física de estos elementos al SPLC deben estar en el manual del fabricante.

A la hora de configurar adecuadamente el SPLC se debe tener cuidado en asegurar que todos los parámetros del sistema están configurados dependiendo de cada aplicación específica de seguridad. Se dará una atención especial a:

− El nivel SIL de la SIF.

− Tiempo de ciclo máximo.

− Arquitectura del sistema.

− Tiempo de respuesta.

− Tiempo límite de monitorización y comunicación.


144

− Configuraciones I/O1 y conexiones.

− Acceso limitado de comunicación externa (p. ej. con el BPCS).

− Reacción de las I/O y los sistemas de fallo.

− Cualquier requerimiento definido en el documento de aprobación del certificado de seguridad (expedido por TÜV o FM) que acompaña al SPLC o PES.

7.5.6.1 Software de Aplicación

La norma IEC 61511 describe 3 tipos de software: aplicación, de servicios, y embebido. El software de aplicación es el que el usuario del sistema escribe y descarga al controlador, es la lógica de seguridad. El software de servicios se utiliza para desarrollar y verificar el programa de aplicación. Software embebido es suministrado como parte del sistema programable, es el firmware. Los dos últimos están regulados para aplicaciones de seguridad por la IEC 61508, los cuales son explícitamente indicados en el certificado de cumplimiento para aplicaciones de seguridad. En el caso del primero, que es el software de aplicación tiene la flexibilidad de desarrollar las SIF definidas por la especificación de los requerimientos de seguridad (SRS) lo cual debe cumplir con un ciclo de vida de seguridad para el software, que está totalmente regulado por la IEC 61511 y la ANSI/ISA-84.00.01-2004. Este ciclo de vida toma como base la información de las SRS del SIS y la arquitectura de los mismos previamente aprobados junto con las características propias del sistema.

Asimismo la norma IEC 61511 contempla tres tipos de lenguaje software: fixed program languages (FPL), limited variability languages (LVL), full variability languages (FVL). FPL el usuario sólo puede ajustar ciertos parámetros como el rango de un transmisor, la lógica está fijada. LVL contiene funciones de librería predefinida de funciones predesarrolladas y testeadas, incluyen lógicas de escalera, lógica secuencial, función de diagramas de bloques. Este tipo de lenguaje permite al usuario combinar las diferentes funciones para configurar o programar la aplicación lógica requerida. FVL son lenguajes mucho más complejos y permiten un mayor rango de funcionalidad, Pascal y C son dos ejemplos. Este último está diseñado para ser comprensible por programadores.

Actualmente muchos software de programación para la electrónica programable (PE) de los Sistemas Instrumentados de Seguridad emplean La Matriz de Causa Efecto para configurarlos (un ejemplo es SIMATIC Safety Matrix de SIEMENS) y que es considerada como una herramienta de configuración, dado que funcionalmente es la representación gráfica de la matriz causa efecto y está basada y crea internamente bloques funcionales o alguna representación en lenguajes LVL para desarrollar las distintas funciones de seguridad de cada función instrumentada de seguridad que se indica en las propias especificaciones de requerimientos de seguridad del SIS.

El estándar IEC 61511 se limita a tratar el desarrollo del software de aplicación usando los lenguajes FPL o LVL. La mayoría de compañías recomiendan el uso de lenguajes tipo LVL.

Un software de aplicación para programación de la lógica de seguridad ha de ser desarrollado de tal forma que logre:

− Modularidad y funcionalidad. 1 I/O son las entradas y salidas del sistema


145

− Facilidad para probar la funcionalidad, incluyendo características de tolerancia a fallos.

− Posibilidad de realizar modificaciones seguras.

− Posibilidad de añadir comentarios y nombres comprensibles a las variables (tags).

− El software debe ser fácilmente legible a través de la pantalla y también a través de la documentación impresa.

− El diseño de cada módulo de aplicación ha de ser robusto, ha de chequear los datos de las variables. Si existe un error en alguna de las variables ha de ser capaz de reconocerlo, reaccionar y corregirlo (incluyendo detección de fallo de la instrumentación de campo, como fuera de rango, señales “pegadas”, etc.).

− En sistemas integrados con software comunes (ej. DeltaV SIS y DeltaV de EMERSON o SIMATIC PCS7 y SIMATIC S7-400FH de SIEMENS) que utilizan un software de aplicación equivalente para seguridad y para control, los módulos programados de seguridad estarán separados de los de control y estarán etiquetados como módulos relativos a la seguridad.

Cada fabricante de SPLC certificados para seguridad incorporan su lenguaje de programación, su software de aplicación, junto con su ciclo de vida y cumpliendo en gran medida con todos los requisitos aquí mencionados.

Una de las ventajas de utilizar un sistema programable es la capacidad para probar la lógica. Podemos realizar simulaciones con el SPLC fuera de línea. La mayoría de los fabricantes entregan con sus equipos un programa de simulación que permite probar la aplicación durante su desarrollo y una vez desarrollado.

Una vez se ha realizado la programación y previo a la conexión de los elementos de campo se ha de realizar un test del software para comprobar la funcionalidad lógica y la interface con el operador del SPLC. Siempre se ha de testear el programa antes de su instalación definitiva en planta. Este test del software se realizará durante las pruebas FAT (Test de Aprobación en Fábrica) (Ver capítulo 7.7 Pruebas de aceptación de fábrica (FAT, Factory Acceptance Test)).

7.5.6.2 Documentación

En general:

− Especificación de los requisitos de seguridad (SRS) basados en el análisis de riesgos y peligros.

Hardware: − Diagramas de lazo y cableado.

− Descripción de la interface y diagramas.

− Puntos de ajuste de parámetros del sistema.

− Documentación certificada de aprobación del SPLC y sus componentes

Programa de aplicación:

− Descripción del programa de aplicación.

− Descripción de las funciones de librería.


146

− Lógica programada.

− Lista de variables, constantes, …

− Identificación de las funciones de no-seguridad.

− Copia del programa de aplicación, escrita y guardada electrónicamente.

Pruebas:

− Pruebas realizadas y resultados.

− Persona/s que realizan la prueba y persona que lo aprueba.

− Fecha de la prueba.

7.5.6.3 Operación, mantenimiento y modificación

El fabricante del SPLC indica en su manual de seguridad el ciclo de vida del equipo y el mantenimiento preventivo que debe realizarse para asegurar su correcto funcionamiento como:

− Inspección periódica del armario/cabina donde se encuentra el SPLC para inspección visual y eliminación de polvo.

− Inspección periódica de la refrigeración del armario.

− Cambio de baterías del SPLC, según especificación del fabricante.

− Mantenimiento del UPS de la planta, incluyendo baterías.

Realización de Back up’s después de cada modificación del software del SPLC y como máximo anualmente a fin de tener siempre la última versión del programa instalado, que nos asegure una rápida configuración del sistema. (Ejemplo ANEXO Q: Protección de la información).

− Etc.

Las tarjetas I/O y controladores (CPU’s) que estén en fallo o contengan algún elemento en fallo deberán ser cambiados inmediatamente. Si se trata de elementos redundantes se podrá hacer en línea, teniendo en cuenta el tiempo límite programado que puede un sistema estar en un escenario de fallo antes de llevar el sistema a paro.

Se han de realizar test de funcionalidad del SPLC y de las funciones de seguridad (ver capítulo 7.9.2 Pruebas funcionales e inspección (Proof Testing)) y se han de leer regularmente la lista de errores y eventos que recopila el SPLC, en una herramienta que se llama SOE (secuencia de eventos).

El software de aplicación debe estar protegido mediante passwords para evitar cambios por personal no autorizado. El operador de planta no debe tener acceso al sistema de seguridad ni posibilidad de cambio en el programa de aplicación. (Ejemplo ANEXO Q: Protección de la información).

Todos los cambios realizados deben estar documentados y aprobados.

En sistemas de seguridad, realizar una modificación del programa, manipular una tarjeta del sistema, realizar un cambio de cualquier tipo implica una situación peligrosa, por lo que sólo personal autorizado podrá acceder a la aplicación software, a los parámetros del sistema y al sistema hardware.


147

Cuando se deba hacer una actualización del firmware para actualizar versiones del sistema, esta se hará con la planta parada y por personal especialista en el sistema, a ser posible personal de mantenimiento e ingeniería del fabricante.

Es una buena práctica el realizar un contrato de mantenimiento con el fabricante del equipo de tal forma que el cliente, en este caso la empresa propietaria del SPLC se asegure principalmente:

− De que cualquier intervención es su equipo de seguridad lo hará personal cualificado y certificado.

− Estar informado de posibles eventos e incidentes que puedan suceder en equipos similares en otras plantas y que pudiesen reproducirse en su sistema.

− Estar informado del estado del SPLC frente a su ciclo de vida. − Guardar la última versión del programa instalado.

Bibliografía y referencias: [1] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.

Tarragona, abril 2008.


[3] Catálogo DELTA V SIS for Process Safety Systems. Published by EMERSON.

7.5.7 Selección de equipos. Equipos Certificados o uso previo El objetivo es escoger el equipo apropiado para el propósito requerido, desde

elementos finales y sensores hasta los resolvedores lógicos (PLC’s de seguridad normalmente).

La normativa IEC 61511 parte 1, recomienda que los equipos utilizados en los sistemas instrumentados de seguridad se seleccionen basándose en una certificación IEC 61508 para el SIL apropiado, o en una justificación basada en el criterio de “uso previo”.

Actualmente existe una tendencia a certificar los instrumentos para sistemas de seguridad según la normativa IEC 61508. Estos instrumentos, (transmisores, PLC de seguridad, actuadores, solenoides, válvulas, etc.) se diferencian de los convencionales por el nivel de diagnósticos que soportan. Como resultado final del proceso de certificación se emite un certificado donde se especifica el nivel de integridad SIL para el cual el producto está calificado y las normativas que fueron usadas para la certificación. Estos equipos cumplen con todos los requerimientos de la norma IEC 61508. Comentar que hay productos que se certifican con alguna restricción y esencialmente indica cuando el producto no cumple alguno de los requerimientos de la normativa. Estas restricciones se detallan en el manual de seguridad del equipo y han de tenerse en cuenta a la hora de diseñar el sistema de seguridad.

Todo equipo, por tanto, irá acompañado de su manual de seguridad donde se especifica:

• Requerimientos y restricciones para el uso.

• Límites ambientales.

• Ajustes adicionales y opcionales.


148

• Información de tasas y modos de fallos.

• Información sobre vida útil.

• Estimaciones del factor b de fallos en modo común. • Procedimientos de inspección y pruebas de calibración.

Para poder obtener la certificación hace falta que un tercero independiente realice una evaluación de seguridad para certificar que el equipo cumple con todos los requerimientos de la normativa IEC 61508 (ejemplo TÜV, FM y EXIDA).

Para equipos basados en el criterio de “uso previo” la normativa IEC 61511 no da detalles específicos acerca de lo que realmente significa. Sin embargo todo el mundo acepta que si una empresa tiene muchos años de experiencia con éxito sobre un equipo (sin fallos peligrosos), y adecuadamente documentado se puede justificar el uso del instrumento, aun cuando no cuente con certificación de seguridad.

Para ayudar a los usuarios finales, muchos fabricantes anexan evaluaciones realizados por terceros que incluyen:

− FMEDA (Failures Modes, Effects and Diagnostics Analysis): el fabricante provee información sobre las tasas de fallos y los modos de fallos. Se trata de una guía de análisis para calcular y clasificar las tasas de fallos y el SFF (Safe Failure Fraction) de un equipo electrónico o mecánico de acuerdo con los requerimientos de la IEC 61508. Un ejemplo es EXIDA que realiza estudios FMEDA para empresas fabricantes como EMERSON, Endress&Hauser, ABB y otros.

− Uso previo: el fabricante provee historia de modificaciones e información de comportamiento en campo. Se trata de componentes o subsistemas que se ha demostrado por la experiencia que no experimentan fallos a lo largo de un periodo de tiempo suficiente, por lo que pueden ser considerados como aptos para su uso. La norma IEC 61508 parte 7 anexos B.5.4 y la IEC 61511 parte 1 sección 11.4.4 y 11.5.3 indica que requerimientos deben cumplir estos componentes.

En ambos casos se acepta la utilización del instrumento sin la certificación de seguridad hecha por un tercero (TÜV, FM, EXIDA, etc.) según IEC 61508 y IEC 61511.

Normalmente las grandes compañías con grandes recursos suelen tener un listado de equipos autorizados para ser usados en seguridad y una arquitectura definida para cada SIL objetivo. Con lo que se facilita y estandariza la ingeniería, diseño e instalación de las funciones instrumentadas de seguridad según el SIL objetivo a lograr.

Si se usan equipos no estándares de la compañía se debe hacer un estudio de seguridad y cálculos para comprobar que se alcanza el SIL objetivo, por esta razón se estandarizan sus arquitecturas y equipos en temas de seguridad con el fin de tener un estándar global y de facilitar el diseño de nuevos sistemas de seguridad.



[2] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems. www.emersonprocess.com


[4] http://www.exida.com



149

7.5.8 Tolerancia a Fallos Hardware (HFT). Selección de Arquitectura. En todo sistema de seguridad lo que se pretende es alcanzar un sistema tolerante a

fallos sin comprometer la seguridad del proceso. Un sistema tolerante a fallos es aquel que es capaz de continuar realizando la función de seguridad en presencia de uno o más fallos peligrosos en hardware.

La redundancia es la técnica usada para conseguir un sistema tolerante a fallos. El sistema más común de redundancia de hardware es la votación por mayoría. La votación es adecuada para fallos imprevistos que afectan a las acciones del sistema y se compensan con funciones redundantes que enmascaran el sistema. La redundancia del sistema vendrá definida por la arquitectura seleccionada para el sistema. La selección de arquitecturas es una actividad que debe ser definida durante el paso del diseño conceptual. La arquitectura tiene un fuerte impacto sobre la integridad de la seguridad del sistema.

Hemos de determinar qué nivel de redundancia requerimos para lograr el SIL objetivo y disponibilidad para todos los elementos que forman parte del SIS (sensores, revolvedor lógico y elementos finales). Un ejemplo de esto se puede dar en un SIS que requiera una arquitectura 1oo2 para alcanzar el nivel SIL requerido pero resulta que preocupa posibles paros molestos (spurious trip), en esta situación podemos elegir una estructura 2oo3 que mantiene el nivel integro de seguridad pero aporta una mayor disponibilidad.

Que 2 sensores fallen a la vez es difícil, pero puede producirse ya que existen los fallos de causa común y fallos sistemáticos que podrían afectar a varios sensores a la vez, Los fallos de causa común normalmente van asociados a factores externos como, calor, vibración, corrosión o errores humanos. Los errores sistemáticos son errores de diseño. Por lo que se recomienda que:

• Múltiples sensores vayan conectados al proceso en diferentes ramas.

• Múltiples sensores y equipos se alimenten de diferentes suministradores.

• La señal de los sensores y equipos hasta el SIS vaya por diferentes caminos.

Otras recomendaciones que se pueden considerar en el diseño son:

• Uso de diferentes tecnologías para una misma medida (p.ej. flujo por placa de orificio y por medidor de turbina).

• Utilizar redundancia diversa (diferente tecnología, fabricante, diseño, software, etc.) con el fin de reducir la influencia de los fallos de causa común solo si es estrictamente necesario.

Como hemos dicho HFT indica la capacidad que tiene un componente o subsistema a realizar su función de seguridad incluso bajo alguna condición de fallo. Un nivel 1 de HFT significa que hay 2 equipos con una arquitectura tal que un fallo peligroso en uno de ellos no impide la acción de la función de seguridad.

En este contexto HFT N significa que N + 1 fallos hardware puede ocasionar la pérdida de la función de seguridad.

Redundancia es un término que se utiliza en automatización para conseguir, esencialmente, disponibilidad.

Repasemos el concepto de probabilidad de fallo en demanda. En sistemas sin diagnóstico el comportamiento de un sistema de seguridad se basa en la siguiente figura 7.5.8.1:


150

Figura 7.5.8.1 Probabilidad de comportamiento en un sistema sin diagnóstico

1=++ idadDisponibilPFSPFD

PFD: Probabilidad de que el sistema falle en forma peligrosa. Ante una demanda del sistema este no actuaría. Provoca una situación peligrosa.

PFS: Probabilidad de que el sistema falle de forma segura. Provoca paros molestos.

Disponibilidad: Probabilidad de que el sistema realice con éxito la función para la que fue diseñado en el instante de tiempo requerido

Ligado a la evolución de los sistemas de seguridad, en un principio lo que se pretendía lograr era disminuir las probabilidades de fallo en demanda (PFD)1, mantener el sistema seguro y alcanzar el SIL meta especificado para cada función de seguridad. Con este fin se empezó a aplicar el concepto de redundancia.

Por otro lado también era necesario evitar los paros innecesarios (paros molestos o spourious trips) no producidos por una desviación real del proceso sino por algún fallo en modo seguro de algún componente y que llevan al paro de la planta con todos los inconvenientes que se pueden derivar, pérdidas económicas, condiciones de paro inestables, etc. En este caso también se recurre a la redundancia para aumentar disponibilidad. Un caso típico es utilizar fuentes redundantes de alimentación para aumentar disponibilidad. Son redundancias que están a la espera.

En el siguiente análisis utilizaremos siempre las ecuaciones simplificadas, sin tener en cuenta los efectos de los fallos de causa común, fallos sistemáticos y en sistemas con diagnósticos o sistemas con HFT > 1 la parte que debe ser añadida al PFD debida al tiempo de reparación del elemento en fallo (MTTR). Asimismo consideraremos sistemas fail safe que en seguridad considera desenergizar para situación segura.

1 PFD (Probabilidad de fallo en demanda): El sistema no actúa cuando se produce una demanda, existe

una situación peligrosa en el proceso. PFS (Probabilidad de fallo seguro): El sistema de seguridad actúa sin razón alguna.


151

Los principios de exclusión o tolerancias de fallos para subsistema1 individuales son:

• Arquitectura 1oo1 (1 out of 1)

TiPFD D *λ= (1) TiPFS S *λ= (2)

NOTA: Ver el capítulo 7.5.4.3 para ver cómo se llega a la ecuación simplificada de Probabilidad de Fallo:

( ) ttPF *λ≈

Utiliza un sistema de canal simple. Un fallo se traduce en la pérdida de la función de seguridad y en la parada del proceso. HFT = 0.

Fallo seguro: El contacto relé abre e interrumpe el suministro de energía a la electroválvula.

Fallo peligroso: Contacto relé soldado, imposible interrumpir el suministro de energía a la electroválvula.

• Arquitectura 1002

Para disminuir la probabilidad de fallo en demanda (fallo peligroso), una de las

opciones por las que se optó fue duplicar y seriar el hardware. Para que el sistema falle en

1 Según IEC 61511 por subsistema se entiende cualquier elemento del sistema que puede ser otro

sistema, bien de control o controlado, y puede incluir hardware, software e interacción humana. Un sistema incluye los sensores, los SPLC’s, los elementos finales, las comunicaciones y equipos auxiliares pertenecientes al SIS (cables, tubing, fuentes de alimentación, etc.)


152

demanda de forma peligrosa es necesario que fallen los dos canales. El sistema sólo necesita un canal para realizar la función de seguridad.

Si un canal falla el sistema se degrada a un sistema 1oo1, por lo tanto tiene un HFT=1.

De la aplicación de árbol de fallos llegamos a las siguientes ecuaciones:

( )2*TiPFD Dλ= (3) ( )TisPFS **2 λ= (4)

Como λD y λS son < 0, vemos que este sistema es mucho más seguro que un 1oo1, llegando a valores de SIL 3, pero duplica la probabilidad de fallo seguro, disponibilidad operacional baja, sistema molesto.

• Arquitectura 2oo2

Este sistema no es muy utilizado debido a que es un sistema poco seguro, aunque sea un sistema altamente disponible.

Del análisis del árbol de fallos llegamos a:

( )TiPFD D **2 λ= (5) ( )2*TiPFS Sλ= (6)


153

Como vemos no es un sistema seguro, ambos canales han de activarse para realizar la función de seguridad. Si un canal falla no se producirá la función de seguridad, se trata de una arquitectura con SIL 0. La disponibilidad operacional del sistema es alta.

De la misma manera que un sistema 1oo1 el fallo de uno de los canales implica la perdida de la función de seguridad, por tanto HFT=0.

• Arquitectura 2oo3

Con este sistema se busca aumentar la seguridad y a la vez aumentar la disponibilidad operacional de la planta, evitando el efecto de los paros seguros.

Con este sistema se requieren que al menos dos elementos coincidan para realizar la

función de seguridad. Incrementa la disponibilidad operacional de la planta.

La función de seguridad de la planta sigue realizándose aun cuando si uno de los canales falla. Incrementa la disponibilidad de seguridad.

Análisis del árbol de fallos del sistema:

( )2**3 TiPFD Dλ= (7)


154

( )2**3 TiPFS Sλ= (8)

La gran ventaja de este sistema es que tiene una tasa de fallo seguro (disparos en falso) mucho menor que un 1oo2, por lo que incrementa la disponibilidad de operación, aunque la probabilidad de fallo en demanda sea 3 veces mayor que un 1oo2, pero llega a obtener valores SIL 3.

Asimismo puede tolerar el fallo de uno de sus canales (HFT=1), degradándose en un sistema 2oo2 (SIL 0), que como hemos visto es el sistema más peligroso y por tanto un 2oo3 degradado debe repararse rápidamente.

Este sistema fue el más utilizado a finales de la década de los 70 y principios de los 80, hasta la aparición de los sistemas con diagnósticos en la década de los 90.

Lo que realmente se busca es un sistema con mejor disponibilidad que un 2oo3, y un mejor nivel de seguridad que un 1oo2 y con la capacidad de tolerar fallos sin comprometer la seguridad. Con la capacidad de diagnóstico lo que conseguimos es detectar fallos peligrosos que pasan a convertirse en fallos seguros, por lo que solo deberemos preocuparnos por los fallos peligrosos que el diagnóstico no puede detectar y que serán la base para calcular la seguridad del sistema.

Como se puede apreciar en las funciones instrumentadas de seguridad, los sensores, los resolvedores lógicos (PLC’s de seguridad en general) y los elementos finales deberán tener una tolerancia a fallo mínima para cumplir con los requisitos de seguridad. Asimismo hemos visto que la tolerancia a fallos representa un mínimo de redundancia requerida para satisfacer el nivel SIL meta de una función instrumentada de seguridad.

Con la aparición de los diagnósticos surge una nueva variable que nos indicará la efectividad del diagnóstico según la norma IEC 61511 parte 1. Se trata de la Fracción de Fallos Seguros (SFF) y se define como la razón entre la tasa promedio de fallos seguros más la tasa de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del sistema.

Figura 7.5.8.2 Probabilidad de comportamiento en un sistema con diagnóstico


155

Dónde:

DUDDSUSD

DDSUSDSFFλλλλ

λλλ+++

++= (9)

Como vemos las tasas de fallos pasan a ser 4:

λDU: tasa de fallo peligroso no detectable.

λDD: tasa de fallo peligroso detectable.

λSU: tasa de fallo seguro no detectable.

λSD: tasa de fallo seguro detectable.

%SAFE: ratio de fallos que son fail-safe.

λD: tasa de fallo peligroso. ( )SAFETOTALD %1−∗= λλ (10)

λS: tasa de fallo seguro. SAFETOTALS %∗= λλ (11)

La capacidad de diagnóstico es medida por el factor de cobertura C, que representa el porcentaje de fallos que pueden ser detectados:

CS: Factor de cobertura de fallos seguros.

CD: Factor de cobertura de fallos peligrosos.

Por tanto:

SSSD C∗= λλ (12)

( )SSSU C−∗= 1λλ (13)

DDDD C∗= λλ (14)

( )DDDU C−∗= 1λλ (15)

Ejemplo. Si tenemos un transmisor con una tasa de fallo de 500E-9 fallos por hora, con un 62 % de fallos fail-safe, con factor de cobertura para fallos seguros del 74% y para fallos peligrosos del 96%. ¿Qué tasa de fallos tendrá el transmisor? ¿SFF del transmisor? ¿Qué SIL puede lograr dependiendo de la tolerancia a fallo hardware dispuesto?

9500 −= ETOTALλ

%SAFE = 0.62 (62%)

CS= 74%

CD= 96%

310931062.09500% =−=∗−=∗= EESAFETOTALS λλ FIT1

1 FIT: unidad fallos en tiempo. Indica el máximo de fallos en componentes por cada 109 horas de

funcionamiento.


156

( ) ( ) 190919062.019500%1 =−=−∗−=−∗= EESAFETOTALD λλ FIT

4.22974.0310 =∗=∗= SSSD Cλλ FIT

( ) ( ) 6.8074.013101 =−∗=−∗= SSSU Cλλ FIT

4.18296.0190 =∗=∗= DDDD Cλλ FIT

( ) ( ) 6.796.011901 =−∗=−∗= DDDU Cλλ FIT

9848.0500

4.1826.804.229=

++=

+++++

=DUDDSUSD

DDSUSDSFFλλλλ

λλλ 98%

Con SFF = 98% y tratándose de un dispositivo tipo B podemos decir:

(Ver apartado 7.5.8.1 HFT según norma IEC 61511 y IEC 61508 de este capítulo) Indicar que todos los datos de tasas de fallos, ratios de cobertura de diagnósticos,

SFF, etc. son datos básicos que han de proveer los fabricantes bien por Análisis de Modos de Fallos, Efectos y Diagnósticos (FMEDA) o por equipos de “uso previo”, para poder ser utilizados en seguridad y son parámetros requeridos para la verificación SIL. Se recomienda utilizar equipos certificados por un organismo independiente (TUV, FM) que justifique que cumple los criterios de la norma IEC 61508.

• Arquitectura 1oo1D

Se trata de un sistema de un único canal que incluye el autotest y un paro secundario controlado por los diagnósticos que convierten un fallo peligroso en seguro. Salida es fallo seguro.

Analizando el sistema:

SUSDDUDD λλλλλ +++= (16)

Los fallos seguros no afectan a la seguridad de la planta aunque sean molestos e impliquen un paro de proceso y con los diagnósticos somos capaces de detectar los fallos


157

peligrosos que se produzcan en el sistema e inhiben la capacidad de actuación en caso de demanda. Por tanto con diagnósticos podemos decir:

DUλλ =

Como los fallos que pueden ser detectados dependen del factor de cobertura y es un dato dado por el fabricante se deduce que:

( )DDDU C−= 1*λλ (17)

( )SSSU C−= 1*λλ (18)

Como más se acerque el factor de cobertura a 1 para fallos en demanda, más bajo será el valor de PFD. El sistema fallará cuando ocurra un fallo en demanda no detectado.

TiPFD DU *λ= (19)

TiPFS SU *λ= (20)

Con un sistema 1oo1D normalmente podemos alcanzar valores de SIL 2 dependiendo del factor de cobertura de que dispongan, aunque cada vez más con los equipos SMART (inteligentes) con una alta disposición de diagnósticos podemos lograr alcanzar SIL superiores.

Para obtener valores de SIL 3 debemos ir a arquitecturas 1oo2D.

• Arquitectura 1oo2D

Se trata de un sistema de dos canales que incluyen el autotest y un paro secundario controlado por los diagnósticos que convierten un fallo peligroso en seguro. Salida es fallo seguro.

La función es idéntica al 1oo1D pero incrementando la disponibilidad de seguridad y de operación.

Para que se produzca una fallo peligroso los dos canales deben fallar en forma

peligrosa, es decir los diagnósticos de ambos no deben haber detectado fallos peligrosas, por tanto son fallos no detectados (DU) peligrosos. Notar que siempre hay un canal


158

calculando y otro verificando, por lo que cualquier variación entre ambos canales será detectada por los diagnósticos que abrirán el circuito y avisarán del evento. Es decir el valor de PFD 1oo2D es el producto del elemento que calcula y el que verifica.

( )2*TiPFD DUλ= (21)

( )( )2*1* TiCPFD DD −= λ (22)

De forma similar:

( )TiPFS SU **2 λ= (23)

( ) TiCPFS SS *1**2 −= λ (24)

Con esta arquitectura se alcanzan niveles de integridad SIL 3. Esta arquitectura al degradarse por falla peligrosa se convierte en un 1oo1D, se degrada a un nivel SIL 2.

Como vemos con la aparición de los diagnósticos se logran sistemas mucho más seguros teniendo un fuerte impacto en la PFD y la disponibilidad del sistema. Los diagnósticos sólo tienen sentido si van acompañados de un buen sistema de alarmas y de una reparación rápida del componente en fallo. El diagnóstico condujo a nuevas arquitecturas que permiten la reconfiguración del sistema una vez el diagnóstico ha detectado un fallo, ello lleva a configuraciones muy efectivas al proveer de valores muy bajos de PFD y PFS, asimismo conseguir una mayor disponibilidad y en el caso de un 1oo2D tener un HFT=1.

Ya en los años 2000 aparece lo que se denomina la 3ª generación de sistemas de seguridad. Se trata de sistemas con un altísimo nivel de diagnósticos que permiten factores de cobertura de diagnóstico del 99.9%, lo que permite alcanzar seguridad independiente de redundancia y votación. En estos casos la redundancia es opcional y se utiliza para alcanzar disponibilidad. Son sistemas altamente modulares y escalables con una alta integración en el DCS, hasta ahora el concepto era de separación entre DCS y SIS, con esta nueva generación de sistemas este concepto está cambiando. Alcanzan certificaciones TÜV de SIL 3 según los estándares IEC 61508. Como se indicó en el capítulo 7.5.5 ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de Siemens, Delta V SIS de Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de Yokogawa.

Se trata de arquitecturas FMR (Flexibles Modulares Redundantes).

Analizando la eq. (17) y la eq. (19) de un sistema 1oo1D llegamos a la expresión:

( ) iDD TCPFD *1* −= λ (25)

A medida que los diagnósticos son mayores el factor de cobertura se acerca al 100%, DC tiende a 1, con lo que la PFD para fallos no detectados se acercará a 0 y los fallos


159

peligrosos detectados se convierten en fallos seguros por lo que el nivel de seguridad SIL de una función dependerá de la tasa de fallos no detectados ( DUλ ). Si este valor es pequeño podemos llegar a nivel SIL 3, y si es tan pequeño que duplicándolo sigue estando en los valores de SIL 3 podemos decir que cualquier arquitectura que se diseñe con este elemento Hardware se mantendrá dentro del SIL 3. Es decir que podemos tener elementos redundantes en cualquier sistema sin afectar la seguridad y aumentando la disponibilidad (ver arquitectura 2oo2). Las arquitecturas FMR permiten múltiples fallas y poder trabajar en modo degradado sin afectar el nivel de integridad de seguridad funcional original, aun siendo este SIL 3. Ejemplos de esta arquitectura:

• Simatic S7 400 F/FH de Siemens:

Figura 7.5.8.3 Ejemplo de FMR de Simatic S7 400 F/FH

Se trata de un sistema modular a todos los niveles. Los módulos están separados físicamente del controlador y conectados por un bus de comunicaciones estándar certificado por TÜV para usos en seguridad funcional (Profisafe DP). Este bus permite la comunicación de cada componente con todos los demás.

El sistema puede tolerar múltiples fallas en diferentes componentes sin comprometer la seguridad y sin parar la planta.

Una arquitectura que puede optar este sistema puede ser:

Figura 7.5.8.4 Ejemplo de configuración Simatic S7 F/FH


160

1. Cada componente de cada elemento Hardware puede separarse físicamente de los demás (minimiza causa común) y tiene capacidad de diagnóstico independiente y certificado a nivel SIL 3.

2. Tiene un valor de disponibilidad segura independiente de redundancia ya que tiene un factor de cobertura altísimo.

3. Cada componente utiliza más de un medio y procedimiento para intercambiar información con los demás.

Después de producirse 4 fallos, esta arquitectura continuará funcionando con su nivel integral de seguridad inicial.

Figura 7.5.8.5 después de 4 fallos el sistema sigue manteniendo la seguridad funcional.

Por tanto con esta configuración se trata de un sistema que tolera 4 fallos hardware HFT=4.

Para más información consultar la página web http://www.automation.siemens.com.

• Delta V SIS de Emerson:

Figura 7.5.8.6. Arquitectura de un módulo de control DeltaV SIS redundante.


161

Se trata de un sistema altamente integrado con el DCS con un nivel de integración común con el DCS DeltaV, utiliza la misma estación de ingeniería y estaciones de operación que el DCS DeltaV. La arquitectura simple ya cumple con SIL 3 y está certificada por TÜV, por lo que el equipo redundante no es necesario para aplicaciones con requerimientos de SIL 3. Los diferentes módulos se conectan usando una red redundante de alta velocidad (High Speed SIS net). De la misma forma que el sistema Simatic S7 400 F/FH tiene una tolerancia a fallos elevada, que depende de la configuración optada.

Constantemente realiza una función de supervisión del buen estado de la función instrumentada, desde el instrumento de medida hasta el elemento final. Para mayor información consultar la página web www.emersonprocess.com\DeltaVSIS.

Resumen evolución tecnología: Ejemplo. Una compañía determina que para cierta aplicación con SIL 3 requiere de 2

transmisores certificados según la norma IEC 61508.

Concepción tradicional sobre la funcionalidad del lazo indicaría que dispare la función de seguridad si se supera el punto de disparo de cualquiera de las 2 lecturas. (1oo2).

Concepción moderna sobre la funcionalidad del lazo mejora la disponibilidad y la seguridad. Dispara la función de seguridad cuando una de las lecturas supera el punto de disparo y la señal de lectura es correcta o cuando el estado de los 2 transmisores es defectuoso. Nos da una alarma pero no disparo cuando existe un cortocircuito o fallo de un solo transmisor (1oo2D). Con la concepción tradicional esto no es posible.

La siguiente tabla presenta el resumen de las arquitecturas que hemos visto y que suponen una evolución en los sistemas instrumentados de seguridad.

Tabla 7.5.8.1. Evolución de la arquitectura

7.5.8.1 HFT según norma IEC 61511 y IEC 61508

Con la aparición de los diagnósticos nos surge una variable de seguridad conocida como la Fracción de Fallos Seguros (SFF) (eq. 9) que nos indica simplemente el grado de diagnósticos de un equipo programable. Resume en que a un mayor nivel de diagnósticos, una menor redundancia será necesaria para cumplir un SIL objetivo dado.


162

En el contexto del nivel de integridad de seguridad de los equipos, el nivel SIL máximo que puede alcanzar un equipo está limitado por la tolerancia a fallos de hardware y la fracción de fallos seguros.

Para los revolvedores lógicos programables (PLC’s de seguridad normalmente) la mínima tolerancia al fallo hardware según IEC 61511 será el que se muestra en la siguiente tabla:

Tabla 7.5.8.2. Nivel SIL para los revolvedores lógicos programables PE, relación arquitectura/seguridad.

Como el SFF es un dato que nos debe dar el fabricante y que precisa de complicados análisis FMDEA o bien datos de la experiencia en campo “proven in use” se recomienda utilizar sistemas certificados cuyos SFF’s han sido determinados en el alcance de la certificación.

Para todos los dispositivos de campo como sensores, elementos finales y revolvedores lógicos no programables la mínima tolerancia al fallo hardware según IEC 61511 será el que se muestra en la siguiente tabla:

Tabla 7.5.8.3. Nivel SIL para sensores, elementos finales y revolvedores lógicos no programables, relación

arquitectura/seguridad

Teniendo en cuenta la diversidad de equipos de campo disponibles, algunos sin diagnósticos, otros con un alto grado de diagnósticos, la tabla 7.5.8.3 tiene limitaciones asociadas que son evidentes. Por lo que existe una serie de condiciones por las que el mínimo HFT debe variar:

• Incrementar en uno el mínimo HFT si el modo de fallo dominante no es hacia el estado seguro o los fallos peligrosos no son detectados.

• Reducir en uno el mínimo HFT si el hardware del equipo es seleccionado usando el criterio de “uso previo” y el dispositivo permite sólo el ajuste de los parámetros relacionados con el proceso (rango de la medida, detección de fallo por rango alto o rango bajo) y el ajuste está protegido (password) y la función instrumentada tiene un requerimiento de integridad menor a 4.

De cualquier forma la tabla 7.5.8.3 indica que necesidad de redundancia de los equipos de campo necesitamos para cumplir el SIL meta establecido, nos indica las limitaciones de la arquitectura.


163

Así como ejemplo, imaginemos que tenemos seleccionada una arquitectura como la de la figura 7.5.8.7

Figura 7.5.8.7. Ejemplo de evaluación de arquitectura.

Si determinamos el nivel de integridad hardware de la función de seguridad (tablas 7.5.8.2 y 3)

Sensor SIL 1 (sin reducción)

SPLC SIL 2

Actuador SIL 2 (con reducción)

La función instrumentada de seguridad viene limitada por el sensor y como máximo podrá ser utilizada para SIL 1.

El subsistema con el SIL mínimo determina el SIL de la función instrumentada de seguridad.

Una alternativa a las tablas anteriores son las tablas que presenta la norma IEC 61508 parte 2, sección 7.4.3, donde el nivel máximo de integridad de seguridad viene dado por la capacidad de tolerar fallos hardware (HFT) y la fracción de fallo seguro (SFF) de cada uno de los subsistemas1 (Tabla 7.5.8.4), La normativa IEC 61508 diferencia entre dos tipos de subsistemas:

• Subsistema tipo A: Un subsistema puede clasificarse tipo A sí, para los componentes necesarios para lograr la función de seguridad:

1. los modos de fallo de todos los componentes que lo constituyen están bien definidas, y

2. el comportamiento del subsistema en condiciones de fallo pueden ser plenamente determinado, y

3. existe suficiente información confiable de fallos, proveniente de la experiencia en campo, para demostrar que se logran tasas de fallos peligrosos detectadas y no detectadas declarada.

4. En general son sistemas simples donde se conoce el 100% de los fallos posibles.

• Subsistema tipo B: Un subsistema debe ser considerado como de tipo B sí, para los componentes necesarios para lograr la función de seguridad

1. el fallo de al menos uno de los componentes no está bien definido, o

1 Podemos considerar que un subsitema comprende un solo componente o un grupo de componentes.

Un sistema E/E/PE completo esta constituido por subsistemas identificables y diferenciables que unidos realizan la función de seguridad considerada. Un subsistema puede estar constituido por diferentes canales. E/E/PE es una definición de IEC 61508 que equivale a SIS en IEC 61511.


164

2. el comportamiento del subsistema en condiciones de fallo no puede ser plenamente determinado, o

3. no existen datos, obtenidos a través de la experiencia en campo, plenamente fiables para apoyar la tasa de fallos detectados o no detectados declarada.

4. En general sistemas más complejos donde los posibles fallos no son conocidos al 100%.

Tabla 7.5.8.4. Nivel SIL del subsistema, relación arquitectura/seguridad. Subsistemas tipo A y B

Al realizar el análisis de alcance de nivel SIL de un subsistema, entendiendo como subsistema un conjunto de elementos que realizan una función identificable y diferenciable, cada uno de los elementos del subsistema tendrá asociado un valor SFF y un valor SIL que determinará el valor global del subsistema. Así la lectura de una variable por el PLC de seguridad puede estar compuesta por un sensor, un convertidor de señal, una barrera separadora, y la tarjeta de entrada al SPLC.

En los sistemas E/E/PE relativos a seguridad, cuya función de seguridad se ejecuta a través de un canal único, el nivel SIL máximo que puede alcanzar la función de seguridad tratada será determinada por el subsistema que cumple los requisitos de nivel de seguridad más bajo.

Figura 7.5.8.8. Subsistemas en un canal realizando función de seguridad

Así podemos analizar los subsistemas desde diferentes variantes. Ejemplo de un canal de entrada:

Variante 1: Calculando el SFF para todo el canal de entrada, a partir de los datos dados por el fabricante de los diferentes elementos.

El subsistema 1 está compuesto por el sensor, convertidor, separador, entrada, cada

uno de los elementos dispone de las tasas de fallos dadas por el fabricante (λDD, λDU, λSD, λSU). Por tanto el SFF calculado del subsistema canal de entrada será (eq. 9):


165

∑∑∑∑∑∑∑

+++

++=

DDDUSUSD

DDSUSDSFFλλλλ

λλλ

El problema está en obtener todas las tasas de fallo de los componentes de una manera fiable y como tratar los componentes con criterio “uso previo” IEC 61511. Los componentes certificados por TÜV ya nos indican directamente el valor de SFF.

Variante 2: Conocidos los valores de SFF y de qué tipo de elementos se trata (A o B), por la tabla 7.5.8.4 obtener el SIL máximo del subsistema:

Sensor SFF = 65 %, tipo A → SIL 2

Convertidor SFF = 98 %, tipo B → SIL 2

Separador SFF = 89 %, tipo B → SIL 1

Entrada SPLC SIL 3 → SIL 3

Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con respecto a la arquitectura. Para realizar este análisis bajo la norma IEC 61508 se requieren todos los datos de SFF y tasa de fallos por parte del fabricante.

Variante 3: Combinación de las dos anteriores. El sensor se estima por la tabla 7.5.8.3 y las reducciones por el criterio “uso previo”.

Sensor “uso previo” reducción 1 → SIL 2 (IEC 61511)

Convertidor SFF = 98 %, tipo B → SIL 2

Separador SFF = 89 %, tipo B → SIL 1

Entrada SPLC SIL 3 → SIL 3

Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con respecto a la arquitectura.

Por otro lado sí en un sistema E/E/PE relativo a seguridad, la función de seguridad se implementa a través de múltiples canales de subsistemas el máximo SIL hardware que puede alcanzar la función de seguridad tratada será determinada por:

− Evaluación de cada subsistema en relación con los requisitos de la Tabla 7.5.8.4, y

− La agrupación de los subsistemas y combinaciones, y

− El análisis de estas combinaciones para determinar el nivel de integridad de la seguridad SIL global del equipo (hardware).

Consideremos el siguiente ejemplo donde la realización de la función de seguridad se lleva a cabo por los subsistemas 1, 2, 3 ó 4, 5, 3 tal y como se muestra en la figura 7.5.8.9.

Figura 7.5.8.9. Subsistemas multicanal realizando función de seguridad


166

Para determinar el nivel integro de seguridad hardware de la función de seguridad realizaremos agrupaciones de subsistemas tal que:

1. Agrupamos subsistemas 1 y 2. Obtenemos un SIL 2. El SIL viene dado por el subsistema que tiene el nivel integro de seguridad más bajo en un canal. En este caso lo determina el subsistema 2.

2. Agrupamos subsistema 4 y 5. Obtenemos un SIL 1. Mismo caso anterior.

3. Si combinamos los subsistemas agrupados 1, 2 y 4, 5 el nivel integro de seguridad hardware respecto a la tolerancia a fallos hardware se determina decidiendo que agrupación alcanza el nivel más alto (en términos de nivel de integridad de seguridad) y que efecto tiene el otro subsistema agrupado en la tolerancia a fallos hardware, en la nueva agrupación de subsistema 1, 2, 4, 5. En este caso el nivel más alto se encuentra en la agrupación 1, 2 (SIL 2), sí un evento o fallo ocurre en la agrupación 1, 2 la función de seguridad se sigue realizando por la agrupación 4, 5. Este efecto hace que podamos incrementar en uno el HFT de la agrupación 1, 2 que hace que incremente en uno el nivel integro de seguridad hardware de la agrupación 1, 2 (ver tabla 7.5.8.4). Por tanto el subsistema agrupado 1, 2, 4, 5 obtiene un SIL 3.

4. El nivel integro de seguridad de la función de seguridad completa, subsistema agrupado 1, 2, 3, 4, 5, respecto a la tolerancia a fallos hardware (HFT) vendrá dada por la combinación del subsistema 1, 2, 4, 5 y el subsistema 3. Ambos están en un canal y por tanto el nivel SIL total vendrá determinado por el subsistema que tenga el nivel integro de seguridad hardware (SIL) más bajo, en este caso el subsistema 3, SIL 2. Por tanto podemos decir que el nivel máximo integro de seguridad respecto a la tolerancia a fallos hardware de la función de seguridad es SIL 2.

Figura 7.5.8.10. Reducción de arquitectura en el subsistema multicanal ejemplo

Por tanto, la tolerancia a fallos depende de la arquitectura utilizada para realizar la acción de seguridad.

Como ya se ha ido comentando las grandes empresas u organizaciones para facilitar el trabajo y estandarizar productos realiza unos estándares propios globales basados en las normas IEC 61508 y IEC 61511 donde se documentan arquitecturas capaces de alcanzar los niveles SIL requeridos para la realización de la función de seguridad en función de los intervalos de prueba de seguridad, tipos de conexiones, interfaces de comunicación, tipo de mantenimiento, etc. y en función a una lista estándar de equipos que pueden ser utilizados en sistemas instrumentados de seguridad. Asimismo si por algún motivo no se puede


167

realizar la función de seguridad según el estándar de la compañía se indica que requerimientos, que análisis, que cálculos y que documentación ha de cumplir los elementos que salgan del estándar.





[4] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998.


7.5.9 Comunicación entre el BPCS y el SIS La comunicación entre el BPCS y el SIS puede aumentar el conjunto de la seguridad

de la aplicación. Pero hay que tener en cuenta que comunicaciones externas que puedan escribir sobre el SIS pueden comprometer la integridad de la seguridad y hay que asegurarse que esos valores sean válidos. Por esta razón hay muchas compañías que en sus estándares no permiten la escritura sobre el SIS. Los estándares de seguridad no prohíben esta comunicación y la posibilidad de escribir en el SIS.

Es positivo tener la información del SIS en nuestras pantallas del DCS, información como estado y lecturas de las I/O, bypass, alarmas, etc. Normalmente esto se hace con una comunicación serie desde el SIS al DCS. Actualmente todos los sistemas de seguridad permiten la comunicación serie.

Normalmente las plantas tienen sistemas de diferentes suministradores para seguridad y para control, por lo que han de utilizar un protocolo común de comunicación, el más utilizado es el protocolo MODBUS. El problema de este protocolo es que lee registros de memoria con valores y no las etiquetas (tags) de referencia. El utilizar MODBUS requiere tener una documentación de los registros de memoria actualizada, ya que un cambio en la base de datos del SIS puede variar todos los valores de los registros que estamos leyendo.

En general diremos que.

• No habrá comunicación externa del BPCS al SIS. La comunicación será unidireccional del SIS al BPCS, permitiéndose solo el paso de información del BPCS al SIS en peticiones tipo “request”, es decir en modo petición si y solo si la función de seguridad me lo permite.

• Se permitirá la comunicación cableada entre componentes comunes del BPCS y SIS.

• El SIS estará protegido contra escritura mediante contraseña.


168

7.5.10 Fuentes de energía Las fuentes de energía más comunes en sistemas de control y en sistemas de

seguridad principalmente son la energía eléctrica y neumática (aire de instrumentación). La conexión a tierra también se incluye en este apartado.

7.5.10.1 Fuentes de energía eléctrica

La fuente de energía eléctrica debe ser diseñada para cumplir con las necesidades del SIS tal y como se determina en la especificaciones de los requerimientos de seguridad. La redundancia en las fuentes de energía eléctrica es una práctica común para mejorar la fiabilidad del sistema SIS, aunque en muchos casos no es necesaria para lograr el índice SIL requerido en los sistemas de seguridad “fail safe” que desenergizan para el paro. Para sistemas que energizan para el paro sí que suele ser necesaria la aplicación de redundancia para conseguir los requerimientos de seguridad fijados.

Existen diferentes métodos para proveer redundancia de fuentes eléctricas, todas ellas con sus pros y contras para cada aplicación. Probablemente el más utilizado sean los sistemas UPS (Uninterruptible Power Supply), aunque existen otros como la utilización de un backup de baterías o la utilización de una línea eléctrica alternativa que automáticamente pasa a suministrar energía en caso de caída de la primera línea. En todos los casos la conmutación a una fuente de energía eléctrica en caso de caída de tensión debe cumplir unos requerimientos mínimos:

• Detección de fallos previo a afectar al SIS.

• Transferencia a la fuente secundaría sin afectar a la operación del SIS.

• Capacidad de mantener las baterías o el sistema UPS sin afectar al SIS.

• Minimizar fallos de causa común.

Adicionalmente las unidades de energía deben contar con indicadores del estado en que se encuentran las baterías o el estado de operación del sistema UPS, así como de un sistema de alarmas y diagnósticos que nos indiquen entre otras cosas el estado de operación del sistema redundante y que evite poner en funcionamiento el sistema SIS sin todas las fuentes de energía disponibles.

Los PLC’s incluyen fuentes de alimentación que reducen y estabilizan el voltaje del suministro eléctrico, en estos casos ha de considerarse la redundancia en el suministro de energía para cumplir con los requerimientos de fiabilidad de la aplicación SIS. Los sistemas electrónicos son sensibles al ruido eléctrico por lo que un buen blindaje, unas buenas prácticas en el cableado y una conexión apropiada a tierra, garantizará el buen funcionamiento.

Las entradas y salidas del PLC deben tener distribución separadas de energía para minimizar el fallo de causa común en caso de fallo en el cableado.

Los puntos a considerar en el suministro de corriente alterna son:

• Rango de voltaje y corriente, incluyendo sobrecorriente transitoria.

• Rango de frecuencia nominal.

• Armónicos.

• Cargas no lineales.


169

• Tiempo de transferencia.

• Protección por sobrecarga y cortocircuito.

• Protección contra descargas atmosféricas.

• Protección contra transitorios como ruidos y picos de tensión.

7.5.10.2 Conexión a tierra

Es preciso una adecuada conexión a tierra para el correcto funcionamiento y protección de la instalación, sobre todo para equipos electrónicos como los PLC’s. La conexión a tierra es uno de los puntos más críticos en sistemas electrónicos, más que para los equipos eléctricos (motores, etc.).

La conexión a tierra debe seguir las recomendaciones del fabricante, cualquier variación debe ser considerada y analizada, ya que no todos los sistemas con la misma tierra se comportaran de la misma forma.

Los puntos a considerar en la conexión a tierra son:

• Protección por corrosión.

• Protección catódica.

• Protección contra descargas atmosféricas.

• Protección contra electricidad estática.

• Pruebas de conexión a tierra.

• Barreras de seguridad intrínseca de conexión a tierra.

• Fiabilidad de los terminales de conexión a tierra.

7.5.10.3 Fuentes de energía neumática

La fuente de energía neumática más utilizada es el aire de instrumentación (aire seco y filtrado), aunque bien pueden utilizarse otros gases como nitrógeno. Principalmente se usa para válvulas de control, válvulas todo/nada y en diferentes tipos de analizadores. El aire de instrumentación debe ser filtrado, secado y continuamente monitoreado para asegurar que mantenga una presión apropiada. De la misma manera que las fuentes de energía eléctrica deben de disponer de un sistema redundante que asegure el suministro y haga cumplir los requerimientos de confiabilidad.

Debe existir un sistema de alarmas que nos indique que se detecta una baja/alta presión que podría o bien parar el proceso o bien dañar equipos que se alimentan de este aire. Asimismo debe haber señalización que nos indique que ha entrado el equipo de reserva.

Los puntos a considerar para el suministro de aire de instrumentación son: • Presión de trabajo.

• Humedad permitida. Punto de rocío.

• Tamaño de partícula aceptable.

• Volumen necesario de suministro.


170

7.5.11 Interfaces Aunque existen varios modos de interfaces en Sistemas Instrumentados de

Seguridad, los principales interfaces se encuentran como Interfaz Hombre-Máquina (HMI) e interfaces de comunicación. Podemos distinguir dos tipos de interfaces hombre-máquina:

• Interfaces de operador.

• Interfaces de mantenimiento/ingeniería.

7.5.11.1 Interfaces de operador

Las interfaces con el operador sirven para comunicar información al operador como una acción de paro a tomar, diagnósticos del sistema, diagnósticos del sensor, diagnósticos del elemento final, estado de la lógica, pérdida de energía que afecte a la seguridad, bypass actuales, etc. Existen múltiples equipos que pueden ser utilizados como interfaces de operador: alarmas, botoneras, luces pilotos, paneles informativos, sistemas SCADA, etc. Sin embargo es muy importante que la operación del sistema instrumentado de seguridad no dependa de la interfaz, ya que puede no estar siempre disponible o en funcionamiento

Para cada mensaje1 que se quiera mostrar al operador es una buena práctica contestar a las siguientes preguntas qua han de quedar reflejadas en la especificación de requisitos de cada ítem a mostrar:

1. ¿Qué eventos son la causa de visualizar este mensaje?

2. ¿El mensaje mostrado puede y debe ser actualizado, y si es así bajo qué criterio (p. ej. tiempo, acciones tomadas, etc.)?

3. ¿Qué acciones causarán la desaparición del mensaje?

El no realizar un análisis claro de las situaciones que el operador debe conocer del sistema pueden resultar en unas especificaciones incompletas y por tanto una fuente de riesgo.

Es importante dar sólo aquella información que es relevante a los operadores, y no sobrecargarlos de alarmas y mensajes hasta el punto de que no sean capaces de reaccionar ante una de ellas. La asociación EMMUA2 en 1999 emitió la publicación 191 sobre la gestión de sistemas de alarmas mundialmente aceptada y desarrollada por los usuarios de los sistemas de alarma en la industria. Un buen diseño del sistema, un buen entrenamiento de los operadores y una buena gerencia de las alarmas hará que se reduzca considerablemente el riesgo de tomar una acción equivocada ante un evento o el pasar por alto un evento que está sucediendo por estar en un estado de sobrecarga de mensajes.

1 Como mensaje entendemos, alarmas, eventos, alertas, situaciones, información que se quiere dar al

operador del estado del Sistema Instrumentado de Seguridad. 2 EEMUA (The Engineering and Equipment Materials Users’ Association – Asociación de Usuarios

de Materiales y Equipos de Ingeniería) emitió la publicación 191 sobre la gestión de sistemas de alarmas.

La OSHA (Occupational Safety and Health Administration – La Administración de Seguridad y Salud Ocupacional de los Estados Unidos) ha emitido ciertos requerimientos para los sistemas de alarmas en el estándar CFR 29 regulación 1910.119, Gestión de Seguridad de Procesos con Materiales Químicos Altamente Peligrosos.

ANSI/ISA-18.2-2009 – Management of Alarm Systems for the Process Industries.


171

La interfaz con el operador es importante, pero no debe ser crítica para el correcto funcionamiento del sistema. Desde la interfaz del operador no debe ser posible modificar el sistema de seguridad. Si por diseño se requiere el uso de acciones del operador, el diseño incluirá sistemas de seguridad de protección contra errores del operador.

Cualquier acción tomada por el operador deberá ser confirmada.

Acciones típicas que el operador puede hacer son los bypass de señales para realizar mantenimiento. Estas acciones estarán protegidas con contraseñas para evitar ser realizadas por personal no autorizado. Normalmente este tipo de acciones son realizadas por el personal de mantenimiento de instrumentación que es quien suele realizar las pruebas de seguridad de los lazos de seguridad en el periodo marcado en las especificaciones de los requerimientos de seguridad.

La información que debería ser monitoreada y a la que debe tener acceso el operador es la que permite saber el estado en que se encuentra el sistema instrumentado de seguridad y que es crítica para que se mantenga el SIL requerido. Esta información debe incluir:

• La secuencia del proceso.

• Indicación de activación de la función de seguridad del SIS.

• Indicación de las funciones de seguridad bypaseadas.

• Indicación automática de degradación del voto de una función.

• El estado de los sensores y elementos finales de control.

• La pérdida de energía cuando esta afecta a la seguridad.

• Fallos de equipos que son necesarios para el correcto funcionamiento del SIS.

• Los resultados de los diagnósticos.

• Históricos de alarmas y secuencia de eventos (suele venir como software de servicios del PLC de seguridad y se recomienda que sea utilizado por personal autorizado y de mantenimiento).

Las interfaces de operador típicas para comunicar información entre el sistema de seguridad y el operador son:

• Paneles de control que contienen lámparas, botoneras, indicadores e interruptores.

• Monitores de visualización.

• Alarmas sonoras y visibles.

• Impresoras.

• El propio BPCS como interfaz, si esta comunicado con el SIS. Los monitores de visualización pueden compartir señales de alarma del sistema de

control y del sistema de seguridad teniendo en cuenta que los datos visualizados deben ser actualizados y refrescados en el tiempo requerido y especificado, y deben estar claramente identificados para evitar la confusión al operador de una situación de emergencia indicada por el SIS o por alarmas del sistema de control (BPCS).

Los mensajes y alarmas deben ser claros y concisos y deben tener una jerarquía para diferenciar aquellos que son críticos “critical” de los no críticas como los de alerta “warning” o las que avisan de alguna mal función del equipo “advisory”, se diferencian


172

por su sonido y su color normalmente y serán visibles en modo intermitente hasta que se reconozcan y una vez reconocidos y hasta que se solucione el problema en modo continuo (recomendación EEMUA publicación 191 “Alarm Management”).

7.5.11.2 Interfaces de ingeniería y mantenimiento

La interfaz de ingeniería y mantenimiento permite realizar el mantenimiento adecuado del SIS y modificaciones de ingeniería que se soliciten y aprueben, de una manera clara y sencilla.

El interfaz de ingeniería y mantenimiento se diseñará de forma que asegure que cualquier fallo de esta interfaz no afecte negativamente la capacidad de acción del sistema de seguridad. Estas interfaces son los medios para programar, probar y mantener el SIS. Se tratan de dispositivos que se usan para las funciones siguientes:

• Configuración hardware del sistema.

• Desarrollo del software de aplicaciones, documentación, y descargas al PLC de seguridad del software del sistema de seguridad.

• Acceso al software de aplicación para cambios, pruebas y monitoreo (bypass de equipos, calibración de equipos, etc.).

• Visualización de los recursos del sistema de seguridad y de los diagnósticos.

• Cambio de los niveles de seguridad del sistema de seguridad y acceso a las variables del software de aplicación.

• Ejecución de bypass para realización de mantenimiento.

Solo personal autorizado será quien haga uso de las interfaces de ingeniería y mantenimiento y nunca será utilizado como una interfaz de operación.

7.5.11.3 Interfaz de comunicación

El interfaz de comunicación es un conjunto de líneas hardware que permiten la transferencia de datos entre diferentes componentes de un sistema o entre sistemas. El protocolo de comunicación estándar más utilizado para este tipo de aplicaciones es el protocolo de comunicación MODBUS.

El diseño interfaz de comunicación con el SIS debe asegurar que ante cualquier fallo en la comunicación no afectará a la disponibilidad del SIS.

El SIS debe ser capaz de comunicar con el BPCS y otros sistemas (control de compresores (CCC control), sistemas de monitoreo y protección de máquinas rotativas (p. ej. Bently Nevada System), etc.) sin que afecten al funcionamiento correcto del SIS.

La interfaz de comunicación debe ser suficientemente robusta contra las interferencias electromagnéticas, incluyendo las sobrecargas de tensión sin causar un fallo peligroso de la SIF, asimismo debe ser adecuado para la comunicación de dispositivos con diferentes referencias de tensiones de tierra.





173

[3] Artículo: “Gestión de Alarmas: Un punto clave en la planificación de la seguridad”, Ignacio Queirolo, Repsol YPF. Publicado en la revista Petrotecnia (feb 2011). (www.petrotecnia.com).

[4] The Alarm Management Handbook 2nd Edition. Hill Hollifield and Eddie Habibi, published by PAS, (2010).

7.5.12 Mantenimiento y pruebas funcionales Las pruebas funcionales han de realizarse con el fin de verificar la correcta operación

del sistema instrumentado de seguridad y asegurar que el SIL meta objetivo se sigue cumpliendo. Las pruebas funcionales del lazo de seguridad deben ser vistas como una actividad de mantenimiento preventivo con el fin de detectar posibles fallos en el correcto funcionamiento del sistema de seguridad y que no se han detectado por diagnósticos en operación normal.

Según la norma ANSI/ISA-84.00.01-2004 y la norma IEC 61511 parte 1, el diseño del sistema de seguridad debe permitir la realización de pruebas de los lazos de seguridad y componentes del SIS ya sea en lazo completo, desde la conexión del sensor al proceso hasta la conexión del actuador final (sensores, SPLC’s, elementos finales y alarmas asociadas) o bien por partes o segmentos diferenciados. Cuando el intervalo de tiempo entre inactividad del proceso programado, es decir el tiempo entre paradas programadas, sea mayor que el intervalo de tiempo entre pruebas especificado para alcanzar el SIL requerido, se requerirá incluir en el diseño procedimientos y utilidades de pruebas y tests en línea, con la planta en funcionamiento.

El diseño e ingeniería del SIS debe realizarse de acuerdo a los requisitos de mantenimiento y pruebas definidos en las especificaciones de los requisitos de seguridad. Recordemos que el intervalo de prueba de las funciones de seguridad es un punto importante a la hora de alcanzar un SIL meta propuesto.

Preguntas importantes que se suelen realizar son:

1. ¿Cómo se realizará el test del sistema?

2. ¿Qué partes de la función de seguridad se bypaseará y si se realizará la prueba manualmente?

3. ¿Existe algún método de prueba automática que pueda implementarse en el sistema?

Una buena práctica en el diseño de SIS es tomar como referencia un intervalo de test anual (el periodo máximo de test no debe exceder los cinco años), este es el periodo comúnmente más utilizado, y es el intervalo que se marca como estándar a la hora de escoger una arquitectura que cumpla con el SIL meta especificado.

Debe existir cierta racionalidad entre los requerimientos que se piden y cómo será la instalación final. Puede darse el caso que la instalación final tenga dispositivos de difícil acceso, o bien que el diseñador especifique poner un dispositivo en válvulas que realicen la pruebe de recorrido parcial (PST). En el primer caso, el personal de mantenimiento no puede realizar adecuadamente las pruebas y en el segundo, el personal de operación puede estar preocupado de posibles paros molestos que pueda ocasionar la carrera parcial. Por lo que es recomendable incluir técnicos de mantenimiento y operación durante la revisión del diseño del sistema que puedan aportar soluciones a problemas potenciales de diseño.

Es muy importante involucrar y concienciar al personal de mantenimiento y operación de la importancia de estas pruebas periódicas, ya que en muchas ocasiones no es

http://www.petrotecnia.com/


174

extraño encontrar sistemas de seguridad que nunca han sido chequeados y cuando estos son probados se encuentran fallos peligrosos que conducen a la inactividad de la función de seguridad para la que fue diseñada, sobre todo en elementos de campo.

Figura 7.5.12.1 Porcentaje de fallos de los elementos principales de un sistema de seguridad.

Fuente: Offshore Reliability Database (OREDA)

Para ello es preciso establecer un sistema de mantenimiento que incluya procedimientos escritos de pruebas claros y ejecutables, sobre todo cuando la planta está en marcha, y personal bien estrenado con un buen conocimiento de los equipos, proceso y sistema que sea capaz de coordinar y ejecutar las pruebas eficazmente con el fin de asegurar la integridad del sistema de seguridad y evitar realizar paros no deseados e innecesarios que pueden producir pérdidas de producción y crear situaciones de riesgo.

No todos los componentes de un lazo de seguridad pueden ser testeados en funcionamiento, por ejemplo compresores, bombas e incluso algunas válvulas, por lo que estos equipos deben ser diseñados con la característica fail-safe, con diagnósticos y redundancia para que solo requieran una frecuencia de test igual al periodo de funcionamiento entre paradas por mantenimiento de planta, en relación al elemento final. Para probar el resto de elementos del lazo, sensores y la lógica de actuación de la función de seguridad, se ha de proponer una serie de bypass que aseguren el funcionamiento del elemento final.

La utilización de bypass cuando estos sean necesarios se realizaran de manera que el operador en todo momento sepa que algún elemento del sistema de seguridad esta bypaseado, normalmente vía alarma en el sistema de control o por procedimientos. El bypass está limitado a un periodo de tiempo, normalmente 8 horas (un turno), pasado este tiempo el bypass se anulará automáticamente. Las especificaciones de los requerimientos de seguridad (SRS) definen que tipo y como se puede bypasear una señal o un elemento del lazo de seguridad (capítulo 7.4).

¿Por qué es necesario y es motivo de auditorías de seguridad las pruebas de lazo de seguridad?

Veamos un ejemplo:

Figura 7.5.12.1 SIF por alta presión

Supongamos un lazo de seguridad compuesto por un transmisor de presión, una entrada analógica y una salida discreta en el SPLC y una válvula ON/OFF como se muestra en la figura 7.5.12.1. No existe redundancia ni diagnósticos automáticos.


175

La probabilidad de fallo en demanda del lazo de seguridad y de forma resumida será:

)2/(TIdPFDavg ∗= λ (1)

Donde:

dλ = tasa de fallo peligroso de todo el sistema (sensor, SPLC y válvula).

TI = intervalo de test.

Vemos que el intervalo de test es un factor importante en la seguridad de un sistema, en teoría si el sistema nunca es probado la probabilidad de que el sistema falle a una demanda es muy alta, se puede decir que del 100%. La ecuación (1) es una aproximación y no asume los diagnósticos automáticos y asume la efectividad del 100% del test manual.

La siguiente ecuación (2) permite el cálculo cuando la efectividad del test no es del 100% y algunos fallos pueden no ser identificados en las pruebas.

( ) ( )( )2212

1 TIdDCTIdDCPFDavg ∗∗−+∗∗= λλ (2)

Donde:

DC = Factor de cobertura de diagnóstico (0 – 100%) (Eficacia del test).

TI1 = Intervalo del test.

TI2 = Intervalo cuando el sistema realiza el test completo del sistema, o es remplazado, o puede ser el tiempo de vida de la planta si el sistema no se prueba completamente o se cambia.

Así, sí la válvula ON/OFF tiene un dλ de 0.025 fallos por año (MTTF = 40 años), un test periódico anual garantiza una efectividad del 95% (detecta el 95% de fallos) y la válvula cada 10 años es cambiada. Qué PFDavg tendrá la válvula durante los 10 años de operación si:

1) La válvula se prueba cada año y se cambia cada 10 años.

2) La válvula no se testea pero se cambia cada 10 años.

Caso 1)

De la eq. (2) PFDavg = (0.95 * 0.025 * (1 año/2)) + (0.05 * 0.025 * (10 años/2) ;

PFDavg = 0.018 -> SIL 1

Caso 2)

De la eq. (2) PFDavg = (0 * 0.025 * (0 año/2)) + (1* 0.025 * (10 años/2) ;

PFDavg = 0.125 -> SIL 0

Se trata de una ecuación aproximada y tiene poco error siempre que el tiempo medio de fallo sea significativamente mayor que el intervalo de test (MTTF >> TI1).

Como vemos es necesario que en el diseño se establezcan las frecuencias y los procedimientos necesarios para realizar las pruebas de los lazos de seguridad. Cada lazo de seguridad (SIF) deberá tener su propio procedimiento de manera que podamos descubrir los fallos peligrosos no detectados por diagnósticos. En cada procedimiento se describirán los pasos a seguir para realizar el test de seguridad de forma segura y que evite paros en falso de la planta, asimismo la hoja de prueba de lazo ha de incluir (IEC 61511 parte1):

• El funcionamiento correcto de cada sensor y elemento final.


176

• El funcionamiento correcto de la acción lógica.

• El funcionamiento correcto de los indicadores y alarmas.

Adicionalmente al test, es una buena práctica realizar inspecciones visuales de los elementos de cada función de seguridad con regularidad con el fin de evitar deterioro en los elementos del lazo y de la instalación (deterioro en la sujeción o protecciones de los elementos de campo, deterioro de cables y tubings, traceados eléctricos rotos, etc…).

7.5.12.1 Como establecer la frecuencia del test

No hay reglas fijas para determinar los intervalos de prueba.

Algunas compañías establecen estándares donde se estipulan intervalos de test de un año y realizados por personal debidamente entrenado. La frecuencia de test es una variable para cada sistema que depende de la tecnología, arquitectura, redundancia y SIL objetivo a alcanzar y disponibilidad de realización de las pruebas de seguridad.

Existen programas que determinan el intervalo óptimo de una manera cuantitativa (p. ej. EXSILENTIA (paquete SILVER) de Exida). A partir de los resultados obtenidos muchas ingenierías incrementan o decrementan la redundancia para obtener el SIL objetivo requerido en función del intervalo de test.

La frecuencia de test se puede determinar usando los cálculos de la PFDavg (eq. 2 aproximada). No todos los elementos del mismo lazo requieren el mismo intervalo de test para conseguir el SIL especificado para el lazo de seguridad, en general elementos finales como válvulas requieren más frecuencia de test que los PLC’s de seguridad.

La duración del test en línea tiene un impacto sobre el PFD del sistema, ya que cuando se realiza un test de seguridad hay parte del sistema que debe ser bypaseado. Durante el test un sistema 1oo1 quedará fuera de línea y su disponibilidad durante el test será cero. Un sistema 1oo2 o 2oo3 no pierde totalmente su función de seguridad. Un sistema 1oo2 pasa a ser un sistema 1oo1 y un 2oo3 se reduce a 1oo2. Cuantitativamente este efecto puede ser calculado (método de Markov). A continuación se muestran las ecuaciones que cuantifican este impacto y que puede ser añadido a los cálculos de los PFDavg1 de cada arquitectura (ver capítulo 7.5.8). Se trata de ecuaciones aproximadas. Son términos que se suelen considerar despreciables si la duración de la prueba es menor a 8 horas.

1oo1; TiTd (3)

1oo2; ( )( )( )TiMTTRTidTd /2***2 +λ (4)

2oo2; ( )TiTd*2 (5)

2oo3; ( )( )( )TiMTTRTidTd /2***6 +λ (6)

Donde:

Td = duración de test

Ti = intervalo de test

1 ( )dttPFDT

PDFavg ∫=1


177


Todas las operaciones, pruebas, y procedimientos de mantenimiento deben estar completamente documentados y puestos a disposición del personal. Como se ha comentado anteriormente es una buena práctica que todas las partes, ingeniería, producción y mantenimiento estén involucrados en el desarrollo de los procedimientos de las pruebas de seguridad con el fin de que todas las partes conozcan y entiendan los procedimientos.

Todos los tests realizados se deben guardar en formato de papel. El usuario debe mantener registros que verifican que los tests y las inspecciones han sido realizadas como se requiere en el procedimiento. Esta documentación puede ser requerida y auditada por una persona, grupo u organismo independiente con posterioridad. Normalmente todas las empresas están sometidas a auditorías internas propias y a auditorias de seguridad externas realizadas por organismos independientes. El no cumplir con los procedimientos requeridos se considera una falta grave que ha de ser resuelta en la mayor brevedad posible.

Los registros de las pruebas de seguridad como mínimo han de incluir:

1) Sistema probado (tag, número de equipo, número de lazo, …)

2) Intervalo de test.

3) Descripción de los test e inspecciones realizadas.

4) Fecha de la realización de la prueba e inspección.

5) Nombre de la persona que realiza la prueba.

6) Resultados de la prueba e inspección.

El comité ISA SP84 ha editado anexo técnico sobre test de sistemas de seguridad. ISA-TR84.00.03-2002 se trata de una guía para pruebas de funciones instrumentadas de seguridad implementadas en SIS.

(ANEXO N: Pruebas de Lazos de Seguridad)





7.5.13 Cableado de los elementos de campo El cableado y conexiones de los elementos de campo (instrumentos y equipos) deben

cumplir con los requisitostos del fabricante, los requisitos de seguridad especificados en las SRS y con la normativa vigente en cada país (REBT, Reglamento Electrotécnico de Baja Tensión en el caso de España y normativa ATEX, utilización de equipos para Atmósferas Potencialmente Explosivas). Cualquier solución adoptada que no se encuentre en las normativas vigentes ha de ser analizada y ha de ser objeto de un análisis de seguridad.

Los fallos más típicos en el cableado son:

• Circuitos abiertos y/o en cortocircuito.


178

• Problemas de tierra.

• Inducciones electromagnéticas, ruido eléctrico.

A continuación se resumen unas buenas prácticas que nos pueden ayudar a minimizar problemas con el cableado:

• Eliminar circuitos comunes. Cada equipo de campo tendrá su propio y dedicado cableado. Sólo es posible utilizar un cableado común en el caso de un bus de campo (ej. profisafe de SIEMENS), siempre que cumpla con las especificaciones requeridas de seguridad.

• Cada entrada y salida de campo deben tener fusibles o limitadores de corriente, que pueden ser parte de la lógica de los módulos de entrada y salida del sistema o usando fusibles externos.

• Separar el cableado y cajas de conexión del sistema de seguridad de los demás sistemas de control de la planta, asimismo etiquetar claramente los cables del sistema de seguridad.

• Se ha de tener en cuenta la inductancia, capacitancia y longitud de los cables. Dependiendo de la sección y la distancia se pueden producir inducciones que impidan la actuación de las entradas y salidas del sistema de seguridad por caída de tensión.

• En general los cables por bandeja deberán llevar cubiertas metálicas o ser cables armados para protegerse mecánicamente. Estas bandejas o cables armados deben estar conectados a tierra al inicio y final y dependiendo de la distancia en puntos intermedios con el fin de proteger las cables de interferencias electromagnéticas y protección contra rayos.

• Aislar la tierra de los sistemas entre ellos y separar galvánicamente los elementos comunes.

• Diseñar los armarios de conexiones y cableado de manera que minimicen el ruido eléctrico y la alta temperatura.




7.5.14 Consideraciones ambientales Es importante especificar qué requisitos ambientales necesitamos para nuestro

sistema de seguridad. Es importante especificar qué ambiente, entorno es necesario para garantizar el correcto funcionamiento del SIS. Cuando se diseña el sistema se ha de considerar el efecto de variables como la temperatura, la humedad, los agentes contaminantes, la vibración, las interferencias electromagnéticas y de radiofrecuencia (EMI/RFI), las descargas electroestáticas, la clasificación eléctrica del área (normativa ATEX “Directriz de clasificación de las áreas según Atmósferas Explosivas”), etc.

En el diseño del SIS se deberán adoptar soluciones concretas para resolver diferencias entre las condiciones ambientales a las que estará sometido nuestro SIS y condiciones especificadas por cada equipo que pertenece al SIS de manera que permita al


179

sistema funcionar en conformidad con lo especificado en las especificaciones de los requerimientos de seguridad (SRS). Medidas como la instalación de calefacción, aire acondicionado, ventiladores, filtros de aire, calorifugados, traceados eléctricos, etc.

Comentar que un incremento de temperatura de 10ºC sobre la temperatura especificada por el fabricante en un equipo electrónico disminuye su vida en aproximadamente un 50%. Es muy importante tener bien reguladas variables como temperatura y humedad en los armarios de instrumentación para que los equipos funcionen en los rangos de medida especificados por el fabricante.

7.5.15 Fallos de causa común Los posibles tipos de fallos que nos encontramos en un sistema se agrupan en 2

categorías:

1) Fallos físicos.

a. Fallos independientes.

b. Fallos de causa común.

2) Fallos sistemáticos (capítulo 7.5.16).

Un fallo se clasifica como físico cuando algún estrés físico excede la capacidad de los elementos instalados. Un fallo sistemático ocurre cuando el sistema, aunque esté funcionando, no es capaz de realizar la función especificada debido a errores de diseño o instalación.

Fallo de causa común puede ser debido a diferentes situaciones. Puede producirse por un estrés (figura 7.5.15.2) que produce un fallo en varios elementos o en una parte del sistema y hace que sistemas redundantes fallen. Como fuentes de estrés tenemos temperatura, humedad, corrosión, vibración, interferencias electromagnéticas, entre otras. Asimismo un fallo en un elemento no redundante puede causar un fallo de causa común, por ejemplo podemos encontrar un controlador triplicado alimentado por una única fuente de alimentación, el fallo de esta fuente hace que caigan los tres controladores. Un fallo de causa común puede resultar de un fallo sistemático (p. ej. de diseño) que afecte a elementos redundantes (figura 7.5.15.1).

Figura 7.5.15.1 Relación de fallos de causa común y los fallos sistemáticos de canales individuales.


180

Figura 7.5.15.2 Fallos de causa común producidos por estrés.

El efecto del estrés hace que la tasa esperada de fallos (λ) del sistema aumente y en muchos cálculos que no se ha considerado el efecto de los fallos de causa común la confiabilidad del sistema no alcance los valores estimados.

ccnteindependie λλλ += (1)

Una forma de indicar el factor de influencia del estrés en los componentes idénticos es el factor beta ( β ). El factor beta representa la fracción de la tasa de fallo en donde 2 ó más fallos ocurrirán debido a un mismo estrés común.

λ

λβ cc= (2) λβλ ∗=cc (3)

Indicar que el modelo del factor β es un modelo empírico, no es un modelo real sino que se trata de una estimación de la realidad.

La norma IEC 61508 parte 61 indica valores estimados de factor β para diferentes equipos de lo que podemos extraer:

05,0005,0 →=β en equipos electrónicos programables.

1,001,0 →=β en equipos de campo.

El anexo técnico ISA-TR84.00.02-2002 parte 1 emitido por el comité ISA SP84, en su anexo A, nos da una metodología para la obtención empírica de los valores β de las funciones instrumentadas de seguridad.

Para disminuir los fallos de causa común las prácticas recomendadas más efectivas son:

• Separación física: unidades redundantes tienen menos probabilidad de recibir el mismo estrés. Se trata de separar equipos.

• Tecnología diversa: unidades redundantes responden diferente a un estrés común. Se trata de utilizar equipos diferentes.

Si controladores redundantes son alojados en diferentes paneles, armarios, y a la vez estos armarios en diferentes salas de instrumentación un fallo de causa común será poco probable. Si usamos dos diferentes transmisores de caudal, de dos diferentes fabricantes y basados en diferentes tecnologías de medida será prácticamente improbable que tengan un problema de fallo por una causa común.

1 Referencia a la normativa IEC 61508 parte 6 para obtener más información sobre diferentes valores

de β , procedentes de estudios empíricos.


181

Un problema de causa común típico es la conexión de múltiples sensores en la misma toma de proceso. Aunque parece obvio es un problema que pasa e inevitablemente pasará.

El uso de redundancia es útil para reducir fallos debido a fallos hardwares aleatorios, pero no lo es contra fallos de diseño u otros fallos sistemáticos. Los fallos sistemáticos o fallos funcionales se suelen confundir y categorizar como fallos de causa común, no es lo mismo aunque un fallo sistemático que afecta a un sistema multicanal pasa a ser un fallo de causa común. Un ejemplo de error sistemático seria el que padecería un diseño de un sistema de válvulas de bloqueo y purga trabajando a muy bajas temperaturas, pero no diseñadas para las temperaturas de trabajo, como resultado se bloquean y no operan correctamente a bajas temperaturas. Se trata de un fallo sistemático debido a un error de diseño.

Veamos la influencia del fallo de causa común en la probabilidad de fallo en demanda de un sistema 1oo2. Incluimos la causa común en un árbol de fallos:

Figura 7.5.15.1 Inclusión causa común en un árbol de fallos

Sí añofallosD /02.0=λ ; Ti = 1 año; 05.0=β

En un sistema 1oo2:

Si PFD para cada componente: TiPFD Doo *11 λ= (4)

En un sistema 1oo2: 2221 *TiPFD Doo λ= (5)

Por tanto1: ( ) 3/2221 TIPFDavg Doo ∗= λ (6)

000133.021 =ooPFDavg

En un sistema 1oo2 con causa común:

El PFDavg del sistema: ccooccoo PFDavgPFDavgPFDavg += 21)(21 (7)

PFDavg causa común: ( ) 2/TIccPFDavgcc ∗= λ (8)

Por tanto: 23

22

)(21TiccTiPFDavg D

ccoo∗

+∗

=λλ (9)

000633.0)(21 =ccooPFDavg

1 ( )dttPFDT

PDFavg ∫=1


182

Bibliografía y referencias: [1] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,

ISA-The Instrumentation, Systems, and Automation Society, 2004.

[2] ISA-TRS84.00.02-2002-Part1, Safety Instrumented Functions (SIF) – Safety Integrity Level (SIL). Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.


7.5.16 Fallos sistemáticos Los fallos sistemáticos son fallos que ocurren cuando los elementos físicos de una

función instrumentada de seguridad, aunque están en operación no son capaces de realizar su función de seguridad especificada debido a errores de diseño o comisión.

Los fallos de causa común pueden ser resultado de un fallo sistemático, normalmente fallos debido a errores en el diseño o errores en procedimientos de operación y/o mantenimiento.

Los fallos sistemáticos principalmente se deben a errores de diseño e implementación o comisionado y entre las posibles causas encontramos:

1) Errores de diseño de la SIF.

Errores en la especificación de la lógica de la función de seguridad, selección incorrecta de los componentes y errores en el diseño de la interfaz entre el elemento de control (E/E/PES) y los sensores y actuadores. La redundancia no resuelve este tipo de fallos.

2) Errores en la implementación de componentes (hardware).

Son errores en la instalación, configuración (calibración, puntos de disparo, etc.) y puesta en marcha del SIS que no son detectados durante las pruebas funcionales del SIS. Ejemplos de este tipo de errores:

a. Errores de cableado y alimentación de aire.

b. Fuente de alimentación eléctrica/neumática inadecuada.

c. Bloqueo de las conexiones al proceso o mala conexión al proceso.

d. Instalación de sensores o elementos finales de control erróneos.

3) Errores de programación.

Errores en el programa de aplicación, diagnósticos, rutinas de interfaz de usuario (sistemas de visualización, etc.).

4) Errores de interacción humana.

Son errores producidos en la operación de la interfaz hombre-máquina de la SIF, errores producidos en las pruebas funcionales de la SIF y durante la reparación de componentes de la SIF.

5) Errores de diseño de componentes hardware.

Errores en el diseño del fabricante o en la construcción de los componentes seleccionados de la SIF que impiden una adecuada funcionalidad. Ejemplos de este tipo de errores:


183

a. Cumplir con las condiciones de proceso especificadas (presión, temperatura, etc.).

b. Correcto funcionamiento en el entorno de la instalación (vibración, condiciones ambientales, etc.).

c. Selección incorrecta del tipo de componentes.

La mejor manera de evitar los errores sistemáticos esta en realizar unas correctas especificaciones del diseño, revisiones de este y unas pruebas exhaustivas de funcionamiento (FAT, SIT y SAT), ya que como se ha comentado el encontrar los errores sistemáticos es difícil y solo cuando ocurre una situación de riesgo es cuando se puede analizar por qué y encontrar estos posibles errores.

Bibliografía y referencias: [1] ISA-TRS84.00.02-2002-Part1, Safety Instrumented Functions (SIF) – Safety Integrity Level (SIL).

Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.

7.5.17 Revisión de seguridad de diseño e ingeniería Una vez realizado el diseño del SIS, se ha desarrollado la aplicación software y se ha

verificado que las funciones de seguridad alcanzan el valor SIL objetivo requerido (ver capítulo 7.6 Verificación SIL de una SIF) se recomienda realizar una revisión del diseño, se trata del PASO 3 Safety review del ciclo de vida de seguridad ejemplo (ver figura Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo. Capítulo 7.1) o de la ETAPA 2, después de realizar las Pruebas de Aceptación en Fábrica (FAT) (Capítulo 7.7) según la IEC 61511 (tabla 6.2.2.1 Implementación de las actividades de valoración y revisión durante el ciclo de vida. Capítulo 6.2.2).

En esta revisión se chequearán lo siguientes tópicos:

• El hardware a instalar es adecuado para la instalación y el cableado es correcto.

• Todos los parámetros de seguridad están establecidos según sea necesario.

• Los requerimientos de cada función están correctamente implementados en la aplicación software.

• Tiempos, límites y constantes de cada aplicación específica son establecidos según la necesidad establecida por la aplicación.

• Existe un aislamiento entre las áreas relacionadas con la seguridad y las relativas a no seguridad.

• Todos los requerimientos de seguridad aplicables a la planta son tal como se refleja en el informe del certificado de seguridad.

• Los requerimientos declarados en el manual de seguridad del PES (sistema electrónico programable) se han cumplido.

• La documentación está completa.

• Los requerimientos para el test de aceptación en fábrica (FAT), test aprobación en el sitio (SAT) y el manual de pruebas periódicas se han realizado y están completas.

Recordar que la norma IEC 61511 define qué debemos hacer y por qué, pero no cómo hacerlo. Se nos da libertad para organizar los procesos de revisión y verificación que


184

consideremos necesarios y que se acoplen a nuestra situación, siempre y cuando se documente correctamente y constate que cumple con la especificación de requisitos de seguridad.

Por lo que se pueden adoptar procesos de verificación y validación que ya se usan habitualmente en la industria, o crear un sistema propio para una compañía en particular.

7.6 Verificación del SIL de una SIF.

7.6.1 Introducción En la especificación de requisitos de seguridad (SRS) se define el diseño de los

elementos que intervienen en la función de seguridad, tecnología de los sensores, procesador lógico y elementos finales, que arquitectura (redundancia) necesito para cumplir con el SIL objetivo establecido en el análisis de riesgos del proceso, software a utilizar y se ha decidido que filosofía de pruebas queremos realizar para poder encontrar y reparar cualquier fallo potencial no detectado en el equipo de seguridad, es decir, se ha establecido un política de inspección y mantenimiento. Todas estas decisiones afectan al cálculo de PFD de cada función de seguridad.

Comprobar que el lazo de seguridad instalado cumple con el SIL objetivo requiere de un trabajo analítico adicional complejo en el que hemos de considerar parámetros como el fallo de causa común en equipos redundantes, intervalos de pruebas de equipos, tiempos de reparación fuera de línea, tipo de redundancia, números de elementos de una función de seguridad y muchos otros detalles. Todos estos detalles hacen que la verificación del SIL, el desarrollo y mantenimiento de los procedimientos y las herramientas adecuadas capaces de un análisis riguroso puede que sean muy exigentes y costosas. Este alto nivel de los costes adicionales normalmente es difícil de justificar, salvo tal vez por las grandes empresas de la industria de procesos.

Los métodos de verificación deben ser coherentes, lógicos y verificables. La mejor manera es realizar la verificación a través de un procedimiento claro, documentado y probado. Como ya se comentó, en el mundo de la industria de proceso químico y petroquímico el método más utilizado para la selección del SIL objetivo es el método HAZOP en combinación con las matrices de riesgos. Un procedimiento claro que verifique y asegure el SIL objetivo resulta difícil de desarrollar y mantener, ya que implica la demanda de un programa de seguridad con la implicación de importantes recursos económicos y personales que no repercuten directamente en la producción y que por tanto en pequeñas empresas es difícil de justificar. En el actual entorno industrial solo puede ser soportado por grandes multinacionales.

Otro problema añadido al procedimiento de verificación es encontrar datos precisos para la realización de los cálculos. Información sobre las tasas de fallo y su clasificación en sensores, sistema de control de seguridad, actuadores y elementos finales de control, etc. depende de un exhaustivo y detallado análisis modal de fallos, efectos y diagnósticos (FMEDA). Cuando no es práctico realizar este tipo de análisis se pueden realizar ciertos supuestos, simplificaciones que es importante que sean conservativas. Si los modos de fallo no se conocen, hemos de asumir que todos los fallos son peligrosos. Si la cobertura de diagnóstico no es conocida, todos los fallos son no detectables. Si el factor de causa común (β) no es conocido, un valor del 10 % será conservativo.

Una solución es utilizar equipos “uso previo”, son equipos ya instalados y la experiencia nos da una fiabilidad contrastada, no es un sistema viable para pequeñas


185

empresas ya que requiere de una base de datos altamente contrastada. Actualmente la opción más utilizada es la de disponer de los datos directamente de los fabricantes.

Existen diferentes bases de datos de confiabilidad con listados de múltiples de equipos. El centro AlChE (American Institute of Chemical Engineers) para la seguridad de procesos químicos ha desarrollado la base de datos DPRE 2000. Empresas de seguridad de terceros como EXIDA también mantiene y desarrolla una base de datos de equipos utilizados en seguridad1. Cooperación de empresas con motivos comunes crean sus bases de datos, como ejemplo OREDA2. Empresas como TÜV, FM3 (Factory Mutual), o compañías especializadas como EXIDA usan métodos como FMEDA (Análisis Modal de Fallos, Efectos y Diagnósticos) para obtener datos de fiabilidad del equipo o instrumento.

Existen diferentes técnicas para el cálculo de la fiabilidad y disponibilidad del sistema (PFD y MTTF) que emplean metodologías sistemáticas que descomponen un sistema complejo (función de seguridad en su totalidad) en componentes básicos que interaccionan entre ellos y se fusionan en modelos de fiabilidad para determinar la disponibilidad total del sistema. Los modelos más utilizados son:

• Ecuaciones simplificadas4.

• Análisis del árbol de fallos (FTA)5.

• Modelo de Markov6.

Por tanto, vemos que la industria de procesos necesita cada vez más de un análisis riguroso y documentado de seguridad basado en técnicas de cálculo y datos sólidos. En el entorno que nos movemos es complejo disponer de un grupo de especialistas que puedan abordar y dedicarse únicamente a estos temas en las empresas. Como resultado nacen organizaciones, empresas especialistas en seguridad funcional que prestan estos servicios. Un ejemplo es EXIDA, fundada en 1999 y que proporciona la capacitación, las herramientas, software especializado y personal experto en seguridad funcional y fiabilidad para el desarrollo de sistemas de automatización.

Debido a la dificultad de encontrar datos fiables de todos los componentes utilizados, a la gran variedad de métodos de cálculo a utilizar y a la variedad de métodos de análisis de riesgos propuestos, muchas organizaciones y empresas estandarizan sus sistemas de seguridad y crean su propia base de datos de componentes con el fin de facilitar su uso por parte de sus ingenieros y utilizar sistemas, componentes y métodos comunes basados en las normas IEC 61511, IEC 61508 y ANSI/ISA S84.01 y en estándares regionales. Así crean un grupo de expertos en seguridad que se ocupan de actualizar la base de datos y procedimientos. (Ver capítulo 7.6.4 Observaciones. Uso de guías propias)

1 Safety Equipment Reliability Handbook - 3rd Edition. Publicado por EXIDA. 2 OREDA, Offshore REliability DAta, proyecto establecido en 1981 por cooperación de empreas

petroloiferas con elobjetivo de recolección de datos de confiabilidad para equipos de seguridad. www.oreda.com

3 http://en.wikipedia.org/wiki/FM_Global o www.fmglobal.com 4 IEC 61508-6 y Referencia ANSI/ISA-TR84.00.02-2002 Part 2 5 Referencia ANSI/ISA-TR84.00.02-2002 Part 3 6 Referencia ANSI/ISA-TR84.00.02-2002 Part 4


186

7.6.2 Procedimiento La integridad de seguridad se define como la probabilidad de que una función

instrumentada de seguridad realice satisfactoriamente la función de seguridad requerida bajo todas las condiciones establecidas y en un tiempo establecido.

La integridad de la seguridad se compone de 2 elementos:

1. La integridad de seguridad hardware.

2. La integridad de seguridad sistemática.

La integridad de seguridad hardware se puede calcular con un nivel aceptable de precisión y está basada en los fallos aleatorios del hardware del sistema. La norma ANSI/ISA-84 y la IEC 61508 y 61511 se refiere a la integridad de seguridad hardware con la especificación de una medida objetivo de fallos para cada SIL. En una función instrumentada de seguridad operando en modo demanda la medida objetivo de fallos es dada por el valor PFDavg (probabilidad de fallo promedio para realizar la función de seguridad en demanda) es la tasa de fallos peligrosos media. La integridad sistemática de la seguridad es difícil de cuantificar y las normas indican técnicas, procedimientos y medidas a seguir para reducir los fallos sistemáticos introducidos en un sistema. Normalmente son fallos producidos en las fases de especificación, diseño, implementación, operación y modificación y afectan tanto al hardware como al software. Es en la especificación de los requisitos de seguridad donde se decide o se concluye el diseño de los elementos (hardware, software, redundancia, etc.) y la forma de operar (política de mantenimiento e inspección, frecuencia de las pruebas de lazos y equipos, etc.) y que afectan a la PFD final de la función de seguridad.

Normalmente en la evaluación de una SIF (función instrumentada de seguridad) también se especifica una tasa de fallos seguros que sea aceptable. Estos fallos nos conducen a disparos en falso o paros molestos. Aunque estos fallos producidos en el sistema de seguridad no son fallos que nos llevan a una situación de riesgo en demanda como pasa con los fallos peligrosos, sí que es cierto que nos conduce al paro y arranque del proceso, que además de consecuencias económicas asociadas a la pérdida de producción, el paro y arranque de una planta es un periodo crítico donde la probabilidad de que ocurra algún riesgo es mayor, sobre todo en equipos como compresores y motores, o estrés en tuberías y depósitos debido a cambio de temperatura o presión que puede ocasionar fugas en bridas, tensiones en tuberías, etc. Por tanto el reducir los paros en falso aumentará la seguridad del proceso. La tasa de fallos seguros es expresada como el tiempo medio para fallos en falso MTTFspurious (mean time to fail - spurious).

A continuación se puede ver un esquema lógico del proceso simplificado a seguir en la seleccción y verificación del SIL.


187

Figura 7.6.3.1 Procedimiento simplificado.

El método escogido y que se analizará en este trabajo será el de las ecuaciones simplificadas. Como se indicó anteriormente existen otros métodos como el análisis del árbol de fallos y el modelo de Markov. No son métodos sencillos de utilizar por lo que existen software especializados que resuelve el cálculo del PFDavg y MTTFspurious (ej. SILVER de EXSILENTIA de EXIDA) y empresas especializadas en temas de seguridad que asesoran, ayudan y realizan los estudios de seguridad y que están certificadas por organismos independientes como TÜV o FM global.

Para realizar los cálculos del PFDavg y MTTFspurious, una buena práctica es tener un procedimiento claro donde se detallen los pasos a seguir. A continuación se detalla un procedimiento que ayuda a realizar los cálculos:

1. Identificar el nivel de integridad de seguridad (SIL) de cada función instrumentada de seguridad (SIF).

2. Enumerar los componentes que tienen un impacto en cada una de las SIF. Normalmente serán los sensores y los elementos finales de control identificados en el análisis de riesgos de procesos (PHA). Es el equipo encargado de hacer el PHA quien asocia un SIL a una SIF.

3. Definir todos los posibles tipos de fallos de elementos del SIS. Como el objetivo de evaluar la integridad de seguridad es calcular la PFDavg y el MTTFspurious, todos los fallos de los elementos del SIS se clasifican en fallos “peligrosos” y “seguros”. Asimismo se definen los fallos detectados y no detectados mientras el SIS está en línea u operación. Esta clasificación de tasas de fallo se definen en base al análisis modal de fallo, efecto y diagnóstico (FMEDA). Si no conocemos los modos de fallo se considerará que todos son peligrosos. Si no se conoce la cobertura de diagnóstico se considerará que todos los fallos son no detectados y si no se conoce el factor beta de causa común se estimará un valor del 10%.

4. Para poder determinar PFDavg y el MTTFspurious de una SIF se debe contar con datos de tasa de fallos (λ) de los componentes de la SIF. Pueden ser obtenidos de bases de datos, de los propios fabricantes, de la experiencia en uso previo, de la utilización de elementos certificados, etc.

5. Calcular el PFDavg según la arquitectura definida en la especificación de los requisitos de seguridad para cada SIF con la contribución de todos los elementos que impactan en la SIF, sensores, elementos finales, procesador lógico, fuente de alimentación, etc.


188

6. Determinar si la PFDavg alcanza el SIL objetivo especificado para cada SIF.

7. Determinar si es necesario modificar el SIS (arquitectura, hardware, intervalo de pruebas, capacidad de diagnóstico, etc.) y recalcular la PFDavg hasta lograr cumplir la especificación de los requisitos de seguridad de cada SIF.

8. Determinar la tasa de disparos en falso (spurious trip) esperada para los componentes del sistema y obtener el MTTFspurious para el SIS.

9. Si el MTTFspurious calculado es menor que el requerido, modificar la configuración (añadir redundancia, usar componentes con mayor confiabilidad, etc.) y recalcular hasta cumplir con la especificación de los requisitos de seguridad. Estos cambios suponen un recálculo de las PFDavg para cada SIF.

10. Cuando los valores de PFDavg y MTTFspurious cumplen o mejoran los especificados en la especificación de los requisitos de seguridad, el proceso de verificación se ha completado.

7.6.3 Cálculo PFDavg y MTTFspurious. Modelo Ecuaciones Simplificadas. El modelo de las ecuaciones simplificadas1 presenta una estimación matemática para

configuraciones típicas de funciones instrumentadas de seguridad que nos permite evaluar el rendimiento del sistema, es decir, la probabilidad que la SIF no responda a la demanda (PFDavg) y la probabilidad que se produzca un paro molesto (MTTFspurious), objetivo final de todas las técnicas de evaluación de la integridad de seguridad.

Es una técnica de evaluación que permite al ingeniero de diseño utilizar una técnica general y relativamente sencilla para evaluar la eficacia del diseño de la función instrumentada de seguridad.

Es un método válido para el cálculo de SIL 1, 2 y 3, si bien para el cálculo de un SIL 3 el usuario final debe comprender plenamente las limitaciones que presenta este método y tener un buen conocimiento del método.

7.6.3.1 Cálculo PFDavg

La probabilidad de fallo en demanda es la medida de integridad de seguridad de la función instrumentada de seguridad (SIF) y es la probabilidad que la función de seguridad falle de forma que no sea capaz de realizar la función de seguridad para la que fue diseñada, por lo que no responderá a una demanda de seguridad y no iniciará ninguna acción de seguridad. Se trata de un valor promedio entre el intervalo de las pruebas funcionales. Es el valor usado para verificar que cada función instrumentada de seguridad y por tanto el sistema instrumentado de seguridad satisface el nivel integro de seguridad (SIL2) requerido.

1 IEC 61508-6 y Referencia ANSI/ISA-TR84.00.02-2002 Part 2 2 3 niveles en ISA-TR84.01-1996, o 4 niveles en IEC 61508 y IEC 61511


189

Tabla 1 Clasificación de la reducción de riesgo. Índice SIL

SIL PFDavg RRF

4 10-4 -> 10-5 10000 -> 100000

ISA

84

.01

3 10-3 -> 10-4 1000 -> 10000

2 10-2 -> 10-3 100 -> 1000

1 10-1 -> 10-2 10 -> 100

Tabla 7.6.3.1 Índice SIL según IEC 61511, IEC 61508 e ISA-TR84.01-1996

Para cumplir con un determinado nivel SIL requerido para una función instrumentada de seguridad, el PFDavg debe ser menor que el límite superior del SIL dispuesto por la norma en cada nivel.

En general se puede afirmar que:

PFD = f (tasa de fallo (λ), tasa de reparación (µ), intervalo de test (TI), causa común (β), etc.)

Asimismo la función específica f dependerá y será un atributo de la arquitectura del sistema seleccionada para el SIS.

La probabilidad de fallo en demanda se determina por la suma de las probabilidades de fallo en demanda de todos los componentes implicados en cada función instrumentada que asegura una protección contra eventos peligrosos de un proceso. Si la función de protección incluye varias variables de proceso, necesitamos sumar sus probabilidades de fallo, ya que sólo que una de estas variables se encuentre en fallo el sistema instrumentado de seguridad no funcionará correctamente.

Figura 7.6.3.2 Componentes básicos de un sistema instrumentado de seguridad

Por tanto, la probabilidad de fallo bajo demanda (PFD) de un sistema instrumentado de seguridad se obtiene como sigue:

∑∑∑∑ +++= iPSiFELSiSSIS PFDPFDPFDPFDPFD ,,, (1)

Dónde:

- PFDSIS es el PFDavg para la función de seguridad específica SIF en el SIS.

- PFDS es el PFDavg del sensor para la función de seguridad específica SIF en el SIS.

- PFDFE es el PFDavg del elemento final para la función de seguridad específica SIF en el SIS.

- PFDPS es el PFDavg de la fuente de alimentación en el SIS.

- PFDLS es el PFDavg del procesador lógico (PLC de seguridad) del SIS.


190

- i representa cada tipo de componente que es parte de la específica SIF.

Las siguientes ecuaciones calculan el valor del PFDavg según las configuraciones típicas usadas en los sistemas instrumentados de seguridad. De todas las arquitecturas, las más representativas son: 1oo1, 1oo2 y 2oo3.

Obtención del valor de DUλ , tasa de fallos peligrosos no detectados:

DUDU

MTTF1

=λ (2)

Donde MTTF es el tiempo medio entre fallos.

Obtención del valor ccλ , tasa de fallos de causa común

βλλ ×= DUcc (3)

Donde β es el factor de causa común

Configuración 1oo1

×+

×=

22TITIPFD D

FDU

avg λλ (4)

Dónde: DUλ es la tasa de fallas peligrosas no detectadas.

DFλ es la tasa de fallos sistemáticos peligrosos.

TI es el intervalo de tiempo entre test de pruebas funcionales.

El término

×

2TID

Fλ es la probabilidad de fallo debido a errores sistemáticos.

Configuración 1oo2 (5)

( )( ) ( )[ ]

×+

××+××××−+

××−=

221

31

22 TITITIMTTRTIPFD D

FDUDDDUDU

avg λλβλλβλβ

El término ( )β−1 podemos asumir que prácticamente es 1, ya que los valores de β suelen estar en los siguientes rangos:

05,0005,0 →=β en equipos electrónicos programables.

1,001,0 →=β en equipos de campo.

Por lo que la podemos reducir la ecuación a:

( ) [ ]

×+

××+×××+

×=

223


FDUDDDUDU

avg λλβλλλ (6)

Dónde: MTTR es el tiempo medio de reparación.


191

DDλ es la tasa de fallos peligrosos detectados.

β es el factor de causa común, fracción de fallos que impactan a más de un canal o un sistema redundante (causa común).

El término [ ]TIMTTRDDDU ×××λλ representa la probabilidad de errores durante el tiempo de reparación de uno de los elemento, por tanto de un canal. Este valor se puede considerar nulo si el tiempo de reparación es corto, < 8 horas.

El término

××

2TIDUλβ es la probabilidad de fallo debido a fallos de causa

común.

El término

×

2TID


Configuración 1oo3

( ) ( )[ ]

×+

××+×××+

×=

22422


FDUDDDUDU


El término ( )[ ]22 TIMTTRDDDU ×××λλ representa la probabilidad de errores durante el tiempo de reparación de uno de los elemento, por tanto de un canal. Este valor se puede considerar nulo si el tiempo de reparación es corto, < 8 horas.

El término

××


común.

El término

×

2TID


Configuración 2oo2

[ ] [ ]

×+××+×=

2TITITIPFD D

FDUDU

avg λλβλ (8)

El término [ ]TIDU ×× λβ es la probabilidad de fallo debido a fallos de causa común.

El término

×

2TID

Fλ es la probabilidad de fallo debido a errores sistemáticos

Configuración 2oo3

( )[ ] [ ]

×+

××+×××+×=


FDUDDDUDU



192

El término [ ]TIMTTRDDDU ×××λλ3 representa la probabilidad de errores durante el tiempo de reparación de uno de los elemento, por tanto de un canal. Este valor se puede considerar nulo si el tiempo de reparación es corto, < 8 horas.

El término

××


común.

El término

×

2TID


Configuración 2oo4

( )[ ] ( )[ ]

×+

××+×××+×=

224 2233 TITITIMTTRTIPFD D

FDUDDDUDU


El término ( )[ ]224 TIMTTRDDDU ×××λλ representa la probabilidad de errores durante el tiempo de reparación de uno de los elemento, por tanto de un canal. Este valor se puede considerar nulo si el tiempo de reparación es corto, < 8 horas.

El término

××


común.

El término

×

2TID


Consideraciones:

1. Para todos los cálculos se ha considerado que todos los componentes redundantes tienen una misma tasa de fallo. Hemos de tener en cuenta que existe la posibilidad de utilizar componentes redundantes con diferentes tasas de fallo, diversidad de componentes.

2. Los términos referidos a fallas sistemáticas, fallos debidos errores en el diseño, en la programación, en la calibración de los instrumentos, son excepcionalmente introducidos en los cálculos de verificación del SIF debido a la dificultad de evaluar los modos y efectos de fallos y la falta de datos de tasas de fallos sistemáticos. Sin embargo son muy importantes y pueden tener una repercusión grave en el funcionamiento de nuestro sistema instrumentado de seguridad, por ejemplo una válvula de corte de gas cuyo actuador no es capaz de mover la válvula, si ocurre un evento peligroso la válvula no actuará. Por esta razón las normas IEC 61511, IEC 61508 y la ANSI/ISA-84.01 incorporan en el ciclo de vida conceptos de diseño e instalación, criterios de validación y test, y un criterio gestión de cambio si este es necesario. Por lo que la verificación del SIL se basa fundamentalmente en evaluar el rendimiento del SIS relacionados con los fallos aleatorios y no los sistemáticos, de diseño. Si de todas formas se quiere incorporar un valor de probabilidad de fallo sistemático al sistema, se puede utilizar un único valor de probabilidad de fallo sistemático para toda la función, ecuación 11. Este valor lo podemos obtener de la experiencia de lazos similares que podamos obtener de bases de datos o bien de nuestra propia experiencia.


193

×++++= ∑∑∑∑ 2,,,

TIPFDPFDPFDPFDPFD DFiPSiFELSiSSIS λ (11)

3. Si el tiempo de reparación de un componente redundante averiado se estima que es corto, normalmente menos de un turno de operación (8 horas). El término que incorpora la variable MTTR, y que se refiere a la probabilidad de que ocurra más de un fallo mientras se está reparando un componente, se puede considerar nulo.

4. Los fallos de causa común, fallos debidos a fuentes de estrés como temperatura, humedad, corrosión, vibración, interferencias electromagnéticas o eventos externos como la caída de rayos, pueden ser obviados si son factores que normalmente son tratados en fase de diseño usando componentes basados en la experiencia de la planta.

Por tanto y derivado de las consideraciones anteriores podemos simplificar las ecuaciones anteriores sin términos de múltiples fallos durante la reparación y sin los fallos sistemáticos. Sí que dejaremos el término referente a los fallos de causa común, ya que son de los que más datos se suele disponer y más modelos y tablas existen.

Las ecuaciones simplificadas para las arquitecturas más utilizadas en industria de procesos (1oo1, 1oo2, 2oo3), teniendo en cuenta la posibilidad de utilizar elementos redundantes con diferentes tasas de fallos (diversidad de componentes) son:

Configuración 1oo1

×=

2TIPFD DU

avg λ (4a)

Configuración 1oo2

×××+

××=

23 21

2

21TITIPFD DUDUDUDU

avg λλβλλ (6a)

Configuración 2oo3

××××+

××+×+×=

233

321

2

323121TITIPFD DUDUDUDUDUDUDUDUDU

avg λλλβλλλλλλ (9a)

Dónde: DUiλ es la tasa de fallo peligroso no detectado de cada componente. Un fallo

peligroso no detectado, impide que la función del sistema instrumentado de seguridad se realice cuando sea demandada, o que no trabaje como se diseñó. Como ejemplos:

- Un medidor de presión con la rama de proceso obstruida. Si la función de seguridad es actuar por alta presión, un evento en el proceso no será detectado y por tanto no se realizará la función de seguridad diseñada.


194

- Un transmisor de medida que por fallo electrónico envía una señal fija. Según la capacidad de diagnósticos del sistema este tipo de fallo podrá ser o no ser detectado. Si se puede detectar pasará a ser un fallo peligroso detectado DD

iλ .

β es el factor de causa común. Es la fracción de fallos peligrosos en las que todas las medidas o canales de control fallan debido a una causa común. Como ejemplo:

- Entrada de agua en un instrumento por un diseño defectuoso. Por ejemplo, en un sistema 1oo2 es difícil que se produzca un fallo en los 2 instrumentos a la vez, pero si el PLC no realiza un diagnóstico por comparación de señales en el sistema 1oo2, puede ocurrir que en el periodo de test de prueba de los instrumentos (TI =1 año) se pueda producir el error en los 2 instrumentos.

Procedimiento básico para el cálculo del PFDavg de los sensores.

1. Identificar cada sensor que detecta una desviación fuera de las condiciones normales de proceso y que lleva a que la SIF actúe en contra de esa desviación. Sólo los sensores que prevengan o mitiguen la desviación designada se incluyen en los cálculos del PFD.

2. Obtener los valores del DUMTTF para cada sensor.

3. Calcular el PFD para cada configuración de sensores usando el DUMTTF y las ecuaciones antes descritas considerando la redundancia adoptada.

4. Sumar los valores de PFD de cada grupo de sensores para obtener el SPFD de la función de seguridad evaluada.

Procedimiento básico para el cálculo del PFDavg de los elementos finales.

1. Identificar cada elemento final que protege una desviación fuera de las condiciones normales de proceso y que lleva a que la SIF actúe en contra de esa desviación. Sólo los elementos finales que prevengan o mitiguen la desviación designada se incluyen en los cálculos del PFD.

2. Obtener los valores del DUMTTF para cada elemento final.

3. Calcular el PFD para cada configuración de elementos finales usando el DUMTTF y las ecuaciones antes descritas considerando la redundancia adoptada.

4. Sumar los valores de PFD de cada grupo de elementos final para obtener el FEPFD de la función de seguridad evaluada. Este paso sólo se realiza si la

función de seguridad evaluada requiere de múltiples elementos finales.

Procedimiento básico para el cálculo del PFDavg del revolvedor lógico (PLC de seguridad).

1. Identificar el tipo de revolvedor lógico usado.

2. Obtener el valor de DUMTTF del revolvedor lógico. Normalmente es un valor dado por el fabricante.

3. El LSPFD es un valor que viene dado por el fabricante. Hoy en día en sistemas de seguridad sólo se utilizan PLC’s de seguridad aprobados por organismos independientes tipo TÜV que garantizan un SIL determinado. Como regla general el LSPFD puede ser despreciado si el PLC es failsafe, PLC’s que en caso de fallo lleva el proceso a un estado seguro.


195

Procedimiento básico para el cálculo del PFDavg de la fuente de alimentación.

1. Obtener el DUMTTF de cada fuente de alimentación del SIS.

2. Calcular el PSPFD usando las ecuaciones antes descritas según redundancia.

3. Un SIS diseñado para desenergizar para posición segura (para paro) la fuente de alimentación no tiene impacto sobre el PFDavg de la SIF, ya que un fallo en la alimentación nos lleva a una acción que lleva el proceso a un estado seguro. Si el SIS está diseñado para energizar para paro, se realizan los puntos 1 y 2.

Como podemos mejorar el valor PFDavg para conseguir el valor SIL meta deseado.

1. Utilizando o aumentando la redundancia de componentes para asegurar disponibilidad de proceso y aumentar la tolerancia a fallo Hardware (HFT).

2. Realizando un programa de mantenimiento más ajustado. Reduciendo el intervalo de test (TI), disminuyendo el MTTR.

3. Utilizando componentes más fiables, con valores de tasa de fallo menores (λ), o con mayor cobertura de diagnóstico (C).

7.6.3.2 Cálculo MTTFspurious

Un fallo seguro de un componente puede causar un paro molesto, pero seguro del sistema. Es lo que conocemos como paros en falso. Son paradas del proceso, no debido a problemas del proceso, sino a fallos en componentes que hace que el sistema actúe y lleve la planta a una posición de seguridad. No se ve afectada la seguridad del sistema pero sí que conlleva una repercusión económica al parar la producción.

El MTTFspurious es la medida del tiempo medio entre fallos seguros, espurios o molestos de un componente o sistema.

Es importante calcular la tasa de los disparos en falso de la función de seguridad y del sistema, para mejorar la fiabilidad del SIS, porque aunque no compromete directamente la seguridad sí que se ve afectada la fiabilidad.

La norma ISA-TR84.01 y la IEC 61511 y IEC 61508 incluye el término STR (Tasa de paros espurios) e indica la probabilidad de que un disparo molesto o espurio suceda en el SIS. La tasa esperada de que suceda un disparo en la SIF por razones no asociadas a problemas en el proceso para la que la SIF fue diseñada.

En esta evaluación se deben considerar todos los componentes que pueden causar un disparo en falso del SIS incluso aquellos que no están directamente relacionados con el evento peligroso específico tratado.

De la misma forma que para el cálculo del PFDavg del sistema, la tasa de fallo o paro molesto (STR) de un sistema instrumentado de seguridad se obtiene como sigue:

∑∑∑∑ +++= iPSiFELSiSSIS STRSTRSTRSTRSTR ,,, (12)

Dónde:

- STRSIS es el STR para la función de seguridad específica SIF en el SIS.

- STRS es el STR del sensor para la función de seguridad específica SIF en el SIS.

- STRFE es el STR del elemento final para la función de seguridad específica SIF en el SIS.


196

- STRPS es el STR de la fuente de alimentación en el SIS.

- STRLS es el STR del resolvedor lógico (PLC de seguridad) del SIS.

- i representa cada tipo de componente que es parte de la específica SIF.

Las siguientes ecuaciones calculan el valor del STR según las configuraciones típicas usadas en los sistemas instrumentados de seguridad. De todas, las arquitecturas más representativas son: 1oo1, 1oo2 y 2oo3.

Obtención del valor de Sλ , tasa de fallos seguros:

segurosS

MTTF1

=λ (13)

Donde spuriousMTTF es el tiempo medio entre fallos espurios.

Configuración 1oo1 SF

DDSSTR λλλ ++= (14)

Dónde: Sλ es la tasa de fallos seguros o espurios del componente.

DDλ es la tasa de fallo debido a fallos peligrosos detectados. SFλ es la tasa de fallo seguro debido a errores sistemáticos.

Configuración 1oo2

( )[ ] ( )[ ] SF

DDSDDSSTR λλλβλλ ++×++×= 2 (15)

Dónde: β es el factor de causa común, fracción de fallos que impactan a más de un canal o un sistema redundante (causa común).

El término ( )[ ]DDS λλβ +× representa la tasa de fallos espurios debido a fallos de causa común.

El término SFλ es la tasa de fallo seguro debido a errores sistemáticos.

Configuración 1oo3

( )[ ] ( )[ ] SF

DDSDDSSTR λλλβλλ ++×++×= 3 (16)



Configuración 2oo2

( )[ ] ( )[ ] SF

DDSDDSS MTTRSTR λλλβλλλ ++×+×+××= 2 (17)


197

Donde MTTR es el tiempo medio de reparación.



Configuración 2oo3

( )[ ] ( )[ ] SF

DDSDDSS MTTRSTR λλλβλλλ ++×+×+××= 6 (18)




Configuración 2oo4

( )[ ] ( )[ ] SF

DDSDDS MTTRSTR λλλβλλ ++×+×+×= 2312 (19)




Consideraciones:

1. El término DDλ , tasa de fallos peligrosos detectados, se incluye en el cálculo de la tasa de paros espurios cuando el fallo peligroso detectado pone el canal (para un sistema redundante) o de todo el sistema (para un sistema no redundante) en un estado seguro (desenergizado), es decir, activa el sistema de seguridad. Si el fallo peligroso detectado no lleva al sistema a un estado seguro, el término DDλ no debe tenerse en cuenta en las anteriores ecuaciones.

2. Las ecuaciones (17), (18) y (19) asumen que los fallos seguros pueden ser detectados en línea (on-line). Si los fallos seguros sólo pueden ser detectados a través de inspecciones y tests, el término MTTR debe ser sustituido por el intervalo de test TI .

3. Para todos los cálculos se ha considerado que todos los componentes redundantes tienen una misma tasa de fallo espurio. Hemos de tener en cuenta que existe la posibilidad de utilizar componentes redundantes con diferentes tasas de fallo, diversidad de componentes.

4. Los términos referidos a fallos sistemáticas seguras, son tratados de la misma forma que para el cálculo de la probabilidad de fallos peligrosos (PFDavg) (capítulo 7.6.3.1 apartado consideraciones). Por lo que si de todas formas se quiere incorporar un valor de probabilidad de fallo sistemático al sistema, se


198

puede utilizar un único valor de probabilidad de fallo sistemático para toda la función, ecuación (20). Este valor lo podemos obtener de la experiencia de lazos similares que podamos obtener de bases de datos o bien de nuestra propia experiencia.

SFiPSiFELSiSSIS STRSTRSTRSTRSTR λ++++= ∑∑∑∑ ,,, (20)

5. En sistemas redundantes, cuando se detecta un fallo ( DDλ ) si este es reparado en un periodo de tiempo corto, normalmente 1 turno (8 horas) el que ocurran fallas adicionales mientras se está realizando la reparación es bastante improbable. Por esta razón no se suele tener en cuenta este término.

6. Los fallos de causa común, fallos debidos a fuentes de estrés como temperatura, humedad, corrosión, vibración, interferencias electromagnéticas, o eventos externos como la caída de rayos, pueden ser obviados si son factores que normalmente son tratados en fase de diseño usando componentes basados en la experiencia de la planta.

Por tanto y derivado de las consideraciones anteriores podemos simplificar las ecuaciones anteriores para las arquitecturas más utilizadas en industria de procesos (1oo1, 1oo2, 2oo3) y 2oo2 para fuentes de alimentación redundantes.

Configuración 1oo1 SSTR λ= (14a)

Configuración 1oo2 SSTR λ×= 2 (15a)

Configuración 2oo2

( ) MTTRSTR S ××=22 λ (17a)

Configuración 2oo3

( ) MTTRSTR S ××=26 λ (18a)

El resultado final del valor de MTTFspurious para el sistema será:

sis

spurious

STRMTTF 1

= (21)

Procedimiento básico para el cálculo del STR de los sensores:

1. Identificar cada sensor que es un iniciador en el SIS.

2. Obtener los valores del spuriousMTTF de cada sensor.

3. Obtener los valores del MTTR de cada sensor.


199

4. Calcular el STR para cada configuración de sensores usando las ecuaciones antes descritas considerando la redundancia adoptada.

5. Sumar los valores de STR de cada grupo de sensores para obtener el SSTR de la función de seguridad evaluada.

Procedimiento básico para el cálculo del STR de los sensores.

1. Identificar cada elemento final que es controlado por el SIS.

2. Obtener los valores del spuriousMTTF de cada elemento final.

3. Obtener los valores del MTTR de cada elemento final.

4. Calcular el STR para cada configuración de elementos finales usando las ecuaciones antes descritas considerando la redundancia adoptada.

5. Sumar los valores de STR de cada grupo de elementos finales para obtener el FESTR de la función de seguridad evaluada.

Procedimiento básico para el cálculo del STR del revolvedor lógico (PLC de seguridad).

1. Identificar el tipo de revolvedor lógico usado.

2. Obtener el valor de spuriousMTTF del revolvedor lógico. Normalmente es un valor dado por el fabricante.

3. El LSSTR es un valor que viene dado por el fabricante. Hoy en día en sistemas de seguridad sólo se utilizan PLC’s de seguridad aprobados por organismos independientes tipo TÜV que garantizan un SIL determinado. El spuriousMTTF para un revolvedor lógico es una función no-lineal por lo que el usuario suele pedir el spuriousMTTF como una función de MTTR , por lo que el usuario solo especifica el rango del MTTR aceptable.

Procedimiento básico para el cálculo del STR de la fuente de alimentación.

1. En este apartado se refiere todas las fuentes de alimentación externas al SIS, como UPS (sistema de alimentación ininterrumpida), generadores diesel, etc. Las tasas de fallo seguro de las fuentes de alimentación internas del revolvedor lógico deben estar incluidas en las tasas de fallo del revolvedor lógico. Si no fuese así se deberían tener en cuenta.

2. Obtener el spuriousMTTF de cada fuente de alimentación del SIS.

3. Obtener los valores del spuriousMTTF de cada fuente de alimentación.

4. Obtener los valores del MTTR de cada fuente de alimentación.

5. Calcular el PSSTR usando las ecuaciones antes descritas según redundancia.

Como podemos reducir la tasa de paros espurios (STR).

1. Utilizando redundancia adicional de componentes para asegurar la disponibilidad de proceso.

2. Utilizando componentes más seguros, con valores de tasa de fallos espurios menores.

3. Cualquier cambio que realicemos para aumentar la fiabilidad del sistema, disminuir la tasa de fallo espurios requiere realizar de nuevo la evaluación del


200

PFDavg del sistema para confirmar que se cumple con el SIL objetivo requerido en las especificaciones de seguridad.

7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas

Un modelo es una aproximación de la realidad. Es imposible modelar cada aspecto de la realidad, por tanto se han de suponer una serie de supuestos, hipótesis que ayuden a simplificar el esfuerzo para realizar el modelo. Cada modelo creado tendrá asociado una incertidumbre. Las tasas de fallos, tiempos medios de reparación, etc. utilizados en modelos de fiabilidad son inciertos, por muchas razones, las bases de datos pueden no ser claras, puede que no dispongamos de datos precisos por no disponer de una buena base de datos, o porque el equipo sea nuevo y no exista un histórico. Por ello, lo bien o mal que se interprete el modelo y la disponibilidad o no de datos válidos afectará a la eficacia y éxito de los valores obtenidos de los cálculos de PFDavg y STR.

Supuestos realizados para los cálculos por ecuaciones simplificadas:

1. La función instrumentada de seguridad será diseñada, instalada y mantenida de acuerdo a la norma ANSI/ISA-84.01, IEC61511 y IEC61508.

2. Las tasas de fallo (λ) y de reparación (µ) se asumen constantes durante todo el ciclo de vida de la SIF. Esto determina la necesidad de realizar un mantenimiento preventivo adecuado para evitar que el dispositivo pierda disponibilidad. Dispositivos con una vida útil más corta deberán ser remplazados a su debido momento.

3. Una vez que un componente ha fallado en uno de los posibles modos de fallo, no puede fallar otra vez en uno de los restantes modos de fallo. Sólo podrá fallar otra vez si ha sido reparado. Es decir, el modelo no contempla la posibilidad de más de un modo de fallo del dispositivo.

4. Las ecuaciones suponen similares tasas de fallo para componentes redundantes.

5. La tasa de fallo del sensor incluye desde el sensor hasta el módulo de entrada del revolvedor lógico. Sensor, transductor, barrera separadora.

6. La tasa de fallo del elemento final incluye desde el módulo de salida del revolvedor lógico hasta el elemento final. Barrera separadora, solenoide, control (control de válvula), elemento final (válvula).

7. La tasa de fallo del revolvedor lógico incluye los módulos de entrada, el procesador lógico, los módulos de salida y las fuentes de alimentación.

8. El intervalo de test entre pruebas de funcionalidad (TI) se asume mucho más corto que el tiempo medio entre fallos (MTTF).

9. Se supone que tras el test de funcionalidad o la reparación de un componente del sistema, este queda perfecto.

10. Todos los componentes de la SIF han sido debidamente especificados según la aplicación del proceso. Así, una válvula fallará en la dirección segura según la aplicación.

11. Todos los fallos de las fuentes de alimentación se suponen para el estado desenergizado.

12. No supone el PFD humano a la hora de responder ante un evento peligroso.


201

13. El valor objetivo “target” del PFDavg y MTTFspurious se define para cada SIF implementada en el sistema.

14. Las ecuaciones asumen un camino de degradación, es decir un sistema 2oo3 degrada como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y un segundo fallo degrada a parada.

15. Por último se asume que el usuario ha de estar familiarizado con las técnicas de verificación SIF y tiene un conocimiento general de la utilización de las bases de datos de tasas de fallos, análisis de modos de fallo y de efectos, y evaluación de la causa común y la cobertura de diagnóstico.

Bibliografía y referencias: [1] ISA-TRS84.00.02-2002-Part2, Safety Instrumented Functions (SIF) – Safety Integrity Level (SIL).

Evaluation Techniques Part 2. ISA-The Instrumentation, Systems, and Automation Society, 2002.




[5] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems. www.emersonprocess.com.

[6] Simplified Methods and Fault Tree Analysis of Safety Instrumented Systems. Staff from Premier Consulting Services. INVENSYS performance solutions.

7.6.3.4 Ejemplo de cálculo utilizando el modelo de ecuaciones simplificadas

Se trata de un ejemplo simplificado y aproximado del comportamiento de un horno. El sistema de supervisión de hornos y calderas es un sistema particular que se define con las siglas BMS (Burner Management System, sistema de supervisión de quemadores). La misión del BMS es que cualquier fallo de un componente no prevenga la parada del sistema, ante todo, el sistema ha de ser seguro. El estándar más importante que cubre BMS y más reconocido a nivel mundial es el NFPA 85 y 86 (National Fire Protection Association). Este estándar recoge extensamente y con requerimientos específicos los diseños.

Los hornos y calderas son unos de los procesos que a lo largo de la historia han dado más accidentes, por ello la necesidad de los estándares específicos para evitar malas operaciones y diseños.

El estándar NFPA 85 cubre gran parte del ciclo de vida de un BMS, diseño, instalación, operación y mantenimiento. Está vinculada a la norma IEC 61508 por lo que se contempla en el contexto de la IEC 61511 y ANSI/ISA-84.01.

En resumen un BMS es un Sistema Instrumentado de Seguridad.

Ejemplo:

Se trata de un proceso petroquímico que necesita calentar los hidrocarburos, principalmente propano a una temperatura entre 550 y 650 ºC a través de unos hornos para que en la unidad de reacción se produzca la reacción química y se deshidrogene el propano produciendo principalmente propileno. Se trata de una reacción endotérmica. Para ello se utiliza un horno con quemadores de gas.




202

El flujo de alimentación al horno se regula por el lazo FIC-01. Un regulador de presión local controla la presión de gas natural a las llamas piloto, PCV-08. El fuel gas a quemadores, FIC-02, se realiza a través de un control en cascada con la temperatura de salida del horno del gas de alimentación de proceso TIC-01. Todos los lazos de control y regulación se encuentran y son parte del Sistema Básico de Control del Proceso (BPCS) del horno.

En el HAZOP1 realizado, los principales temas a estudiar son:

1. Tener suficiente aporte de gas natural a los quemadores piloto.

2. Tener suficiente aporte de gas natural y fuel gas a los quemadores principales.

3. Tener suficiente aporte de Oxígeno para realizar la combustión del gas. Se trata de un horno por tiro natural.

Tras realizar el estudio HAZOP del proceso el horno se llega al siguiente diagrama de instrumentación y tubería (P&I Diagram).

Figura 7.6.3.3 Diagrama P&I, tras HAZOP (parte 1)

Del análisis HAZOP realizado para el ejemplo, de todos los fallos con consecuencias importantes que se sugieren se analiza el caso de pérdida o exceso de flujo en la línea de gas natural a los pilotos (color rojo). El diagrama P&I mostrado en la figura 7.6.3.3 nos muestra el resultado final tras realizar el HAZOP, después de realizar la verificación del SIL objetivo para la función por cálculo de PFDavg con el método de ecuaciones simplificadas. Los lazos en verde representan variaciones del proceso que han de ser analizadas en el HAZOP, como parte de otras funciones de seguridad y que pueden tener consecuencias importantes de seguridad2.

A continuación se muestra el resultado del estudio HAZOP (el estudio del HAZOP para esta función de seguridad es un caso real).

1 HAZOP aproximado para la realización del ejemplo. Se analizará sólo una SIF.

2 Representa el sistema de enclavamientos de seguridad perteneciente al área que se estudia. En este caso S-500 representa el sistema de seguridad del horno.


203

La obtención del valor objetivo SIL se realizará por medio de la matriz de riesgos (ver capítulo 7.3 Definir SIL objetivo).

Figura 7.6.3.4 HAZOP horno por posible pérdida de la llama piloto.


204

Otras consideraciones:

Cumplimiento reglamentario: Las válvulas de aislamiento en las líneas de fuel gas y gas natural a quemadores y pilotos se han de instalar con doble válvula de corte y venteo intermedio a través de un borboteo conectado a colector de antorcha aguas arriba del colector de presión con el fin de aislar las líneas de gas a pilotos y quemadores. Asimismo estas válvulas han de tener un reset local cercano a las válvulas (HS 03). Las válvulas tendrán indicación de posición a través de finales de carrera. A fallo de energía cierran (posición de seguridad cerrada). Según norma NFPA 85.

Del Análisis HAZOP obtenemos las funciones de seguridad a implementar en el Sistema Instrumentado de Seguridad. En el caso de la llama piloto, una variación del flujo de gas natural a las llamas piloto puede provocar que estas se apaguen. La seguridad del sistema vendrá dado por la lectura de presión de la línea, una fluctuación en la presión de la línea implica una variación del flujo de gas natural. La variación de presión puede provocar que los pilotos se extingan con el potencial de crear una atmósfera explosiva en el hogar del horno.

Análisis SIL: Baja presión de gas natural a pilotos.

Evaluación de seguridad:

Matriz de riesgos:

Un riesgo clase B es inaceptable y requiere la instalación de elementos de protección,

entre ellos un SIS que alcancen un SIL 3.

Configuración, arquitectura especificada para SIL 3 del SIS:


205

Figura 7.6.3.5 Diagrama de bloque de la SIF del piloto.

Según la norma IEC 61511 y la ANSI/ISA 84.01, un sistema de válvulas block and bleed (bloque y purga) es considerado un sistema 1oo2.

Se han realizado las siguientes suposiciones:

1. La SIF ha sido diseñada como desenergizar para paro.

2. Todos los componentes redundantes tienen la misma tasa de fallos.

3. Hay redundancia externa de fuentes AC de alimentación.

4. El PFDavg y el MTTFspurious para el PLC de seguridad redundante es dado por el fabricante y se asume un valor de 0.00005 y 100 años respectivamente.

5. Intervalo de test funcional de 12 meses (TI).

6. MTTR de 8 horas, se supone una reparación perfecta.

7. Errores sistemáticos y de causa común se estiman negligibles.

Cálculo del PFD:

PFD de los sensores:

Datos:

Transmisor de presión PI 03, 04, 05

MTTFDU = 100 años; 01.01== DU

DU

MTTFλ

Eq. (9a) configuración 2oo3

( ) 413

222

323121 −Ε=×=

××+×+×= TITIPFD DUDUDUDUDUDUDU

avg λλλλλλλ

PFD elementos finales:

Datos:

Válvulas de Bloqueo + solenoides UV 11, 12, 13, 21, 22, 23

MTTFDU = 50 años; 02.01== DU

DU

MTTFλ


( ) 433.133

22

2

21 −Ε=×=

××=

TITIPFD DUDUDUavg λλλ

Como la función de seguridad tiene dos bloques de elementos finales con la misma configuración 1oo2, el PFDFE será:

466.2433.1433.1, −Ε=−Ε+−Ε== ∑ iFEFE PFDPFD

PFD PLC de seguridad:

55 −Ε=avgPFD


206

PFD Fuente de alimentación

Como el SIS desenergiza para paro, la fuente de alimentación no tiene impacto PFD sobre el sistema.

PFDavg del sistema:

Eq. (1); ∑∑∑∑ +++= iPSiFELSiSSIS PFDPFDPFDPFDPFD ,,,

416.4466.25541 −Ε=−Ε+−Ε+−Ε=SISPFD

24041 == PFDRRF SIL 3: 1000 < RRF < 10000

El valor máximo permitido para SIL 3 es 0.001 por tanto el diseño cumple con las especificaciones de seguridad. El diseño alcanza el SIL 3 especificado.

Cálculo del MTTFspurious:

MTTFspurious de los sensores:

Datos:

Transmisor de presión PI 03, 04, 05

MTTFspurious = 50 años; 02.01== spurious

S

MTTFλ


( ) 657.66 2−Ε=××= MTTRSTR S

S λ

MTTFspurious elementos finales:

Datos:

Válvulas de Bloqueo + solenoides UV 11, 12, 13, 21, 22, 23

MTTFspurious = 25 años; 04.01== spurious

S

MTTFλ


08.02 =×= SFESTR λ

Como la función de seguridad tiene dos bloques de elementos finales con la misma configuración 1oo2, el STRFE será:

16.0, == ∑ iFEFE STRSTR

MTTFspurious PLC de seguridad:

MTTFspurious = 100 años

01.0=LSSTR

MTTFspurious Fuente de alimentación

MTTFspurious para la fuente de alimentación redundante viene dada por el fabricante.

MTTFspurious = 20 años


207

05.0=PSSTR

MTTFspurious del sistema:

Eq. (21); SIS

spuriousSIS STR

MTTF 1=

Eq. (20); SFiPSiFELSiSSIS STRSTRSTRSTRSTR λ++++= ∑∑∑∑ ,,,

22.005.016.001.0657.6 =+++−Ε=SISSTR

54.41==

SIS

spuriousSIS STR

MTTF años

Esto significa que cada 4 años y medio aproximadamente puede haber un paro no esperado (espurio) de la planta. Si este valor no fuese aceptable, hay que considerar cambios en el lazo con el fin de aumentar el tiempo medio entre fallos. Se puede aumentar la redundancia, o coger componentes con un mayor MTTF. Cualquier cambio que se realice supone volver a verificar que el PFD del sistema cumple con los requerimientos especificados.

Bibliografía y referencias: [1] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.

Tarragona, abril 2008.

[2] NFPA 85: Boiler and Combustion Systems Hazards Code. Edición 2001 desarrollada y publicada por National Fire Protection Association (NFPA), 1 Batterymarch Park, Quincy, USA.

7.6.4 Observaciones. Uso de guías propias estandarizadas Como ya se ha ido indicando, las grandes compañías multinacionales con suficientes

recursos suelen tener guías y estándares globales propios de ingeniería y diseño de todas sus plantas y por tanto de sus sistemas. Por tanto es lógico pensar que también estandariza el diseño e instalación de sus sistemas de seguridad. Estos estándares facilitan el trabajo a los ingenieros encargados en el desarrollo, instalación y mantenimiento. Son guías que se aplican en todo el entorno de la multinacional y permite trabajar de un modo común y global en plantas de diferentes países.

Son guías basadas en las normas IEC 61511 y IEC 61508 y por defecto en la ANSI/ISA-84.01. Además, en cada país se tendrá que adaptar a la normativa y legislación de la zona.

Por lo que podemos concluir que el diseño conceptual de un SIS, si se realiza dentro del ámbito de una compañía con guías estándares propios, se adaptarán estos estándares.

A continuación se listan los principales requerimientos de una guía o estándar típico. Es un listado muy resumido y básico que podría ser utilizado por cualquier multinacional del sector petroquímico y sobre el que se basarían todos sus diseños del Sistema Instrumentado de Seguridad.

Recordemos el ciclo de vida que propusimos como ejemplo y basado en el ciclo de vida expuesto en el estándar IEC 61511. (Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo. Capítulo 7.1).


208

Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo

1. General

1.1 En general se cumplirán todos los requerimientos de la norma IEC 61511. Estos requerimientos se detallan en la guía global de la compañía.

2. Personal

2.1 Sólo personal cualificado y entrenado participará en la realización de las diferentes actividades englobadas en ciclo de vida de seguridad.

2.2 Todos los resultados de las actividades de las diferentes etapas definidas en el ciclo de vida han de ser verificadas por una segunda persona que no haya estado directamente involucrada en la actividad (principio de los 4 ojos). Estas etapas se definen en detalle en la IEC 61511.

3. Análisis de riesgo de proceso para sistemas instrumentados

3.1 Se utilizará el método HAZOP principalmente, como alternativa podrá utilizarse el método árbol de fallos para la realización del análisis de riesgo.


209

3.2 Se usará la matriz de riesgos para asignar un valor objetivo SIL (nivel integro de seguridad) a cada caso.

3.3 Sólo funciones con SIL 2 o SIL 3 serán implementadas como funciones de seguridad de un sistema instrumentado. Las funciones con un SIL < 2 se considerarán como funciones de monitorización y alarma y se implementarán en el sistema básico de control de proceso (BPCS, normalmente un DCS). Funciones con un SIL > 3 requerirá una modificación del diseño del proceso o bien el uso de otros sistemas de protección además del sistema instrumentado de seguridad.

3.4 El diseño deberá ser fijado y verificado en el paso 3 (Safety Review Process) para cumplir con el SIL objetivo especificado (ver Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo). Finalmente antes del start-up el diseño final instalado debe ser verificado y validado en el paso 4 (PSSR). La disponibilidad y fiabilidad de una función de seguridad dependerá de los equipos y arquitectura seleccionada, del intervalo y método de test definido, del tiempo medio de reparación de componentes (MTTR) y de la cobertura de diagnóstico y fallos de causa común.

3.5 Todos los resultados obtenidos en los pasos de revisión de seguridad de cada etapa (safety review) han de estar documentados.

4. Implementación del Sistema Instrumentado de Seguridad

4.1 Sólo deben utilizarse instrumentos y equipos de campo que estén aprobados por la compañía y por tanto que formen parte de la lista estándar de equipos. Los equipos que no formen parte de la lista estándar aprobada por la compañía solo podrán utilizarse si:

- se puede demostrar que el equipo es un equipo “proven in use” (uso probado) en una planta química sin haber tenido ningún fallo peligroso en el último año y

- es aceptado por el comité de expertos regional encargado de establecer las normas y redactar las guías.

4.2 Si se utilizan las arquitecturas típicas estándares aprobados por la compañía y los equipos pertenecientes a la lista estándar, no será necesario realizar los cálculos de disponibilidad ni fiabilidad de la función de seguridad. El estándar de la compañía ya nos dará en función de los elementos escogidos los test de frecuencia permitidos, MTTR’s, y que valor SIL es alcanzado (ver capítulo 7.6.4.1 Arquitecturas típicas).

4.3 Todos los componentes de las SIF y componentes que son parte del SIS deben estar claramente marcados. En la documentación se diferencian como elementos Clase A, y en campo utilizando distintivos físicos.


210

4.4 Si se hubiesen de hacer cálculos de PFD (probabilidad de fallo en demanda) o SFF (fracción de fallo seguro) estos deberán ser aprobados por el ingeniero cualificado experto en SIS asignado al proyecto.

4.5 No se usarán arquitecturas de un solo canal para SIL 3.

4.6 Se utilizará el principio de desenergizar para paro de seguridad.

4.7 Sólo se utilizarán PLC’s de seguridad (PES) que estén certificados por un organismo independiente (TÜV por ejemplo), que logren el SIL adecuado y estén aceptados en la lista estándar de equipos de la compañía.

4.8 El DCS no soportará funciones de seguridad. Si existe alguna señal que tenga que ser compartida con el DCS, un fallo en el DCS no debe afectar al sistema de seguridad.

4.9 Las funciones de seguridad serán tan simples como sea posible.

4.10 Una función que provoca un disparo del sistema de seguridad no se reseteará automáticamente cuando recupere su valor normal, tendrá que ser peseteada por operación una vez la situación se dé por controlada.

4.11 Se utilizarán valores analógicos en vez de digitales siempre que sea posible.

4.12 Siempre que sea posible se implantarán medidas de diagnóstico online a fin de aumentar la cobertura diagnóstico. (por ejemplo comparación de canales).

5. Validación

5.1 Cada una de las funciones instrumentadas de seguridad será validada en el sitio (pruebas SAT), y aprobada por la compañía. Los resultados se documentarán (paso 4, PSSR).

5.2 Los resultados de las pruebas de aceptación en fábrica (FAT) de la lógica del PLC de seguridad no son necesarios revalidarlos en planta si no ha habido modificaciones en el programa después de las pruebas FAT.

6. Mantenimiento

6.1 El mantenimiento y test de lazos se realizará de acuerdo a los resultados obtenidos y fijados en la especificación y revisión de seguridad. Todas las actividades de mantenimiento se documentarán.

6.2 Cualquier fallo ocurrido en una SIF ha de ser estudiado y documentado, así como comunicada la acción correctiva implementada. Todos los fallos reportados se recopilan en una base de datos para evitar que el problema afecte a nuevas instalaciones y poder obtener una base de datos más fiable.

6.3 Cualquier fallo en el SIS debe ser reparado lo antes posible. En la primera fase de la ingeniería y diseño del SIS, lo que se denomina diseño

conceptual es cuando debemos establecer la estrategia de con qué tipo de arquitectura y componentes se pretende alcanzar los diferentes valores meta SIL. Otras variables que impactan en alcanzar el valor SIL meta como test de pruebas, fallos de causa común, cobertura de diagnóstico, etc. Están reflejados en las especificaciones de los requisitos de seguridad, documento que sirve de arranque para realizar la ingeniería y diseño del SIS.


211

7.6.4.1 Arquitecturas típicas

Página intencionadamente en blanco: Tratamiento confidencial


212

7.6.4.2 Desviación de las arquitecturas típicas

Como ya se ha comentado los sistemas instrumentados de seguridad pueden diferir de las arquitecturas típicas recomendadas por la compañía por diferentes razones:

1. El lazo no puede ser probado cada 12 meses por motivos de producción, ya que el test del lazo implica un paro de parte o del total de la planta con la consecuente pérdida de producción. Normalmente ocurre en diversos equipos en plantas continuas.

2. La función de seguridad no puede ser implementada con una arquitectura típica. Puede darse el caso que la función de seguridad precise de más grupos de sensores y/o actuadores.

3. Uso de equipos y/o instrumentos no aprobados por la compañía, equipos que no se encuentran en la lista estándar de la compañía.

En todos estos casos se requiere realizar una evaluación por parte de un equipo de expertos (ver capítulo 6. Gerencia de la Seguridad Funcional) que normalmente debe estar compuesto por miembros de las siguientes áreas:

• Ingeniería de procesos: quien es conocedor de las propiedades del producto y de los riesgos a reducir, normalmente el ingeniero de planta o proceso.

• Ingeniero E&I (Electricidad e instrumentación): normalmente el ingeniero E&I responsable del mantenimiento de la planta.

• Expertos técnicos: personal experto en los equipos a utilizar, personal de taller especialista en la unidad a tratar (compresores, bombas, unidades de destilación, etc.).

• Si fuese necesario expertos en Sistemas Instrumentados de Seguridad y SPLC.

Este equipo deberá tratar y resolver los siguientes puntos:

• Evaluar la experiencia que se tiene de los equipos y configuraciones a utilizar en aplicaciones idénticas o similares de la misma planta o de otras plantas con productos comparables, aprovechando también la experiencia adquirida en aplicaciones no SIS. Evaluar la experiencia adquirida por el fabricante o por otras compañías del sector. Es importante poder obtener datos de mantenimiento y reparación de los dispositivos, así como características de confiabilidad. Es decir queremos llegar a utilizar unos componentes que puedan entrar en la categoría de “proven in use”.

• Realizar un análisis de fallos de los equipos de campo implicados, teniendo en cuenta la influencia de los productos del proceso. Utilizando un check list estándar.

• Tomar medidas adicionales en los equipos considerados de manera que aseguremos su confiabilidad y que los fallos sean suficientemente improbables, sobre todo si el intervalo de test ha de ir más allá de 12 meses.

• Realizar una estimación cuantitativa del valor PDF, y ver que cumple el SIL objetivo de la función de seguridad.

• Todos los resultados y acuerdos alcanzados deben estar documentados.


213

Hoy en día las grandes compañías químicas y petroquímicas tienen multitud de arquitecturas típicas estudiadas y probadas así como un amplia lista estándar de equipos e instrumentos que pueden ser utilizados en sus funciones de seguridad. El mayor problema radica en poder mantener el intervalo de ensayo de funciones de seguridad en 12 meses, sobretodo en plantas de operación continúa.

En los casos en que no es posible realizar un test de ensayo en un periodo inferior a 12 meses deberemos tomar las siguientes medidas.

• Realizar una inspección visual anual que nos pueda indicar defectos visibles externamente como suciedad, corrosión, etiquetado, solenoides con la ventilación limpia, etc.

• Optimizar gestión de pruebas. El sistema ha de diseñarse de manera que podamos probar el mayor número de componentes de una función de seguridad, por ejemplo en una función de seguridad de corte rápido de suministro de vapor a una turbina de vapor no podremos probar la válvula de corte (implicaría el paro de la turbina), pero sí que hemos de diseñar el sistema de forma que podamos probar los enclavamientos que producen el cierre de la válvula (presión de vapor, sobrevelocidad del compresor, baja presión de succión del compresor, etc.). Las paradas de producción no esperadas se pueden utilizar para realizar pruebas de seguridad y comprobar la efectividad de la válvula, que es el único elemento que no podemos probar con la planta en marcha.

• Aumentar el grado de redundancia del sistema. Esto permite alargar el periodo de prueba de lazo manteniendo el mismo nivel SIL, disponibilidad de la función de seguridad, aunque supone un sobrecoste.

• Incrementar la cobertura de diagnóstico de sensores y actuadores permite alargar el periodo de prueba de lazo manteniendo la disponibilidad de la función de seguridad.

• Utilizar estructuras multicanal para los sensores permite realizar pruebas en cada uno de ellos independientemente bajo el control de un procedimiento de test apropiado.

En caso de actuadores y válvulas.

• Prevenir la contaminación del aire de instrumentación, que puede llevar al bloqueo mecánico de la solenoide instalando filtros de aire a la entrada de cada solenoide (mejor que un filtro a la salida del sistema de suministro de aire de instrumentación), utilizando líneas de acero inoxidable (evita la formación de óxido), realizando una exhaustiva purga de las líneas antes de la puesta en servicio de la planta o modificaciones realizadas en la planta para eliminar impurezas, residuos y humedad en las líneas.

• Evitar la introducción de humedad y ambiente corrosivo en las líneas de aire para evitar la corrosión de los actuadores (en concreto de los muelles) en las válvulas de control.

• Para válvulas de gran tamaño que normalmente no operan (trabajan en demanda) se ha de sobredimensionar el actuador ya que el par necesario para abrir/cerrar la válvula se ve incrementado cuando la válvula no ha sido movida durante un periodo largo.


214

• De aquí la importancia de poder realizar carrera parcial, PST (Partial Stroke Test), moveremos la válvula ligeramente de manera que no influya en demasía en el flujo de paso y así comprobaremos el estado del actuador y válvula y posibles problemas que puedan haber.

Si la función instrumentada de seguridad no puede ser adaptada por un típico intentaremos simplificar la función. En este rediseño de la función ha de estar involucrado el equipo de análisis de riesgos ya que la función de seguridad se verá rediseñada. Podemos hacer las siguientes reflexiones guía para ver si es posible rediseñar la SIF:

• ¿Todos los interlocks, acciones de seguridad son realmente parte de la función instrumentada de seguridad y todos son requeridos a la vez con idéntica disponibilidad? ¿O puede que parte de estas acciones sean acciones suplementarias de monitorización?

• ¿Se trata de una única función de seguridad, es decir la función de seguridad responde a varios peligros detectados independientemente que requieren acciones iguales o diferentes?

• ¿Es posible proteger un equipo con diferentes funciones de seguridad, protegiendo individualmente partes del equipo sin ver afectada la seguridad global del equipo?

• ¿Los dispositivos de campo se usan en más de un función instrumentada de seguridad? ¿Son estos necesarios para aumentar los requisitos de fiabilidad?

Finalmente si no utilizamos equipos y componentes estándar hemos de evaluar y considerar la siguiente información:

• Los documentos aportados por el fabricante, incluyendo los documentos del sistema de calidad en el desarrollo y producción del equipo.

• Certificados existentes, por ejemplo certificados expedidos por un organismo inspector aprobado y en conformidad con IEC 61508.

• Información y experiencia aportada por otras empresas respecto a un uso satisfactorio en aplicaciones idénticas o comparables.

• Es positivo realizar una prueba del dispositivo por una unidad especializada antes de su utilización.

• Si tenemos alguna duda, realizar pruebas de test en intervalos de tiempo más cortos (6 meses).

• Realizar un examen detallado del dispositivo en el taller cuando sea posible, por ejemplo en la próxima parada.


215

7.6.4.3 Cálculo PFDavg1

Los cálculos de PFDavg se realizan según el modelo de ecuaciones simplificadas ya comentado en capítulo 7.6.3 Cálculo PFDavg y MTTFspurious. Modelo ecuaciones simplificadas y en concreto se utilizan las ecuaciones de las arquitecturas más típicas sin tener en cuenta el aporte de los fallos sistemáticos y de los múltiples fallos durante la reparación. Sí que valoraremos el término referente a los fallos de causa común, ya que son de los que más datos se suele disponer y más modelos y tablas existen.

En resumen utilizaremos generalmente las siguientes ecuaciones para arquitecturas 1oo1, 1oo2, 2oo3 que típicamente son las más utilizadas en industrias de procesos:

Configuración 1oo1

×=

2TIPFD DU

avg λ (4a)

Configuración 1oo2

×××+

××=

23 21

2

21TITIPFD DUDUDUDU

avg λλβλλ (6a)

Configuración 2oo3

××××+

××+×+×=

233

321

2

323121TITIPFD DUDUDUDUDUDUDUDUDU

avg λλλβλλλλλλ (9a)

Donde ( )DCDUi −×= 1λλ

Y donde el PFDavg de la función instrumentada será:

∑∑∑ ++= iFELSiSSIS PFDPFDPFDPFD ,, (1)

Dónde:

- PFDSIS es el PFDavg para la función de seguridad específica SIF en el SIS.

- PFDS es el PFDavg del sensor para la función de seguridad específica SIF en el SIS.

- PFDFE es el PFDavg del elemento final para la función de seguridad específica SIF en el SIS.

- PFDLS es el PFDavg del resolvedor lógico (PLC de seguridad) del SIS. Como regla general si el PLC utilizado es un SPLC (PLC fail safe) su contribución es despreciable, ya que cualquier fallo nos llevará a una posición de seguridad.

- i representa cada grupo de componentes que es parte de la específica SIF.

Por lo que las únicas variables que necesito para el cálculo del PFDavg son:

λ: tasa de fallos del dispositivo.

β: factor de causa común.

DC: Cobertura de diagnóstico. Fracción de fallos que son detectados por diagnósticos no realizados por el elemento de campo, por ejemplo en el SPLC.

1 Ver capítulo 7.6.3 CálculoPFDavg y MTTFspurious. Modelo ecuaciones simplificadas


216

TI: intervalo de tiempo entre pruebas de la función instrumentada de seguridad.

Si utilizamos las estructuras típicas tratadas en este capítulo podemos realizar una aproximación y asumir unos valores estándar de las variables que intervienen en el cálculo del PFDavg.

Si se asume el diseño de las funciones instrumentadas de seguridad utilizando cualquiera de las arquitecturas típicas descritas en el apartado anterior 7.6.4.1 y para desviaciones en cuanto a la elección de los instrumentos se toman las medidas comentadas, podemos realizar las siguientes aproximaciones para las variables que entran en el cálculo del PFDavg.

Valores estándar de tasa de fallo λ: Como se comentó en anteriores capítulos existen varios métodos para la obtención de la tasa de fallo λ.

• Obtención de la tasa de fallo ideal, se trata de determinar la tasa de fallo en condiciones ideales, es decir sin influencia ni del producto ni de las condiciones ambientales. En este caso λ se determina realizando un gran número de operaciones de prueba (p. ej. abrir y cerrar una válvula 10000 veces) en un laboratorio. En este caso el rango resultante de tasa de fallo suele estar entre 1/10000 y 1/1000 por año.

• Datos del fabricante en los que si se tiene en cuenta el producto del proceso a que se dirige. Con ello se intenta evaluar la influencia del producto sobre la medida de la tasa de fallo. En este caso la cifra ideal se ve empeorada. El resultado de λ obtenido es dispar dependiendo del producto utilizado para el análisis.

• Valoraciones obtenidas de las compañías miembros de NAMUR1. NAMUR realiza anualmente encuestas sobre los equipos utilizados en sistemas instrumentados de seguridad por las compañías miembro y el resultado de satisfacción en fiabilidad y disponibilidad. Estos datos no solo incluyen el equipo sino que también la influencia del producto que pasa a través de ellos y la ingeniería e instalación realizada. Posiblemente sea una de las fuentes más fiables para la elección e instalación de equipos de seguridad.

• Utilización de bases de datos como EXIDA y OREDA (para evaluación de datos en plataformas offshore). En estas bases de datos encontramos equipos peores a tasas de fallo de 1/100 al año.

1 NAMUR se trata de una asociación internacional de usuarios de tecnologia de automatización en

procesos industriales. www.namur.de


217





[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries, ISA-The Instrumentation, Systems, and Automation Society, 2004.


218

7.7 Pruebas de aceptación de fábrica (FAT, Factory Acceptance Test) El apartado 13.1.1 de la norma ANSI/ISA 84.00.01-2004, y la cláusula 13 de IEC

61511-Parte 1 define los objetivos de la realización de las pruebas FAT como el test del sistema lógico junto con el software asociado para asegurar que satisface los requerimientos definidos en las SRS (Especificaciones de los Requerimientos de Seguridad) antes de ser instalado en la planta, de tal forma que posibles errores puedan ser encontrados y corregidos. El estándar también nos da una serie de recomendaciones para la realización de las pruebas FAT.

¿Quién participa en la realización de las pruebas FAT?

El número de participantes depende de la complejidad y tamaño del sistema, pero en general participará todo el personal involucrado en la construcción y verificación del sistema a probar, debiéndose definir las responsabilidades de cada participante en las pruebas. Como mínimo se recomienda la participación de:

• Un representante de la casa contratista del sistema de seguridad, normalmente es la persona que ha dirigido y ha tenido la responsabilidad del diseño y programación del sistema lógico (hardware y software incluyendo los interfaces con otros sistemas), y que normalmente será el encargado de liderar y coordinar las pruebas y preparar los procedimientos de pruebas requeridos. Si hubiese diferentes proveedores de subsistemas integradores del sistema podrá participar en las pruebas representantes de cada uno de ellos.

• Un representante de la propiedad, normalmente el Ingeniero E&I encargado del diseño del SIS. Será quien aprobará junto con el ingeniero de proceso los procedimientos de las pruebas FAT redactados por la empresa suministradora del sistema.

• El usuario final, como personal de operación y mantenimiento.

¿Qué debe ser probado?

• Todo el hardware del sistema lógico, módulos de entradas y salidas, terminales, cableado interno, procesadores lógicos, módulos de comunicación, redundancia del sistema, interfaz con el operador, etc.

• Auto switchover, bypass y redundancia.

• Software y programa lógico.

Las pruebas deben estar basadas en procedimientos documentados aprobados por el suministrador del equipo o sistema y por el usuario final. Como criterios más usuales, aunque no únicos para la realización de las pruebas FAT destacamos:

• Inspección visual del sistema.

• Inyectar señales de entrada (digitales, 4-20 mA, pulsos, termopares) y observar la respuesta del sistema.

• Forzar valores de salidas analógicas o digitales.

• Crear diferentes escenarios de fallos para ver la respuesta de los backup del sistema (redundancia de buses de comunicación, tarjetas entrada/salida, controladores redundantes, etc.).


219

• Simulación lógica para realizar una prueba completa de la lógica. Es decir, probar la funcionalidad del sistema lógico (PLC de seguridad) y la interfaz con el operador sin que las entradas/salidas de campo se encuentren conectadas. La prueba debe realizarse antes de la instalación en campo y para la simulación se utilizará la misma interfaz del operador que se utilizará en el sitio (en planta). El sistema debe probarse al 100%.

Existen diferentes formas de realizar una completa comprobación de la funcionalidad de la lógica. Podemos hacerlo cableando los módulos de entradas y salidas a switches, generadores 4-20 mA, paneles de lámparas piloto, todo etiquetado como los equipos de campo. Simular estados de operación por los switches (señales discretas) y por los generadores 4-20 mA (señales analógicas) y ver los resultados por las lámparas piloto, todo ello se compararía con la matriz causa efecto de funcionalidad con el fin de verificar la operabilidad del sistema. Otra forma de realizar la prueba total es mediante un programa de simulación separado de la lógica principal que nos crea un enlace entre las salidas del programa principal y las entradas del simulador, por ejemplo utilizando un PC conectado al SIS y que contiene el programa de simulación.

Si durante las pruebas FAT se detecta algún error y requiere alguna modificación, ha de estudiarse que impacto provoca la modificación sobre la integridad del SIS, por lo que es posible tener que rehacer cálculos de integridad (PFD) de las funciones afectadas.

La importancia de realizar unas pruebas de la lógica y equipo de control de seguridad antes de la instalación en campo conlleva una serie de beneficios que ayudan a resolver problemas y evitan pérdidas de tiempo como:

• El sistema hardware y software es revisado y probado en un entorno libre de estrés al estar fuera de la planta donde va a ir instalado.

• Cualquier problema que se encuentre puede resolverse con más facilidad al disponer de mayores recursos técnicos al realizar las pruebas en casa del fabricante.

• Las pruebas FAT suponen un entrenamiento para el personal usuario del sistema que está involucrado en las pruebas (normalmente responsables de mantenimiento y de operación).

• Se adquiere conocimiento del sistema por parte del personal usuario del sistema, pudiendo clarificar malentendidos.





7.8 Instalación y Comisionado En esta fase del proyecto es cuando llega la hora de instalar y comisionar el sistema

instrumentado de seguridad que se ha diseñado cuidadosamente. En muchos proyectos se puede decir que marca un hito, un punto de entrega, donde el personal de ingeniería pasa el diseño del sistema al contratista para su instalación.


220

En esta etapa se debe garantizar que el sistema instrumentado de seguridad se instale de acuerdo con el diseño y opere de acuerdo a la especificación de los requerimientos de seguridad. Antes de que el sistema sea llevado al sitio debe ser probado hasta su correcta operación, una vez en el sitio, el contratista (instalador) debe verificar que el sistema instalado esté de acuerdo al diseño incluyendo los dispositivos de campo. Una vez el sistema está instalado se debe realizar una validación del sistema o pruebas SAT (Pruebas de Aceptación en Sitio) y también lo que se conoce como PSAT (Pre-Start Acceptance Test, capítulo 7.8.1), arranque en frio.

La figura siguiente muestra una secuencia de pruebas y validación para la instalación y puesta en marcha del sistema SIS según la IEC 61511.

Cualquier cambio o modificación que se realice en algún equipo específico del SIS

durante la instalación, comisionado o PSAT requiere volver a realizar el estudio de seguridad correspondiente y debe estar debidamente documentado y consensuado.

La instalación del sistema incluye todos los elementos hardware relacionados con el SIS como sensores, elementos finales de control, cableado de campo, cajas de conexiones, armarios de instrumentación, PLC de seguridad, interfaces con el operador, sistemas de alarmas, etc.

Para garantizar una correcta instalación y comisionado del sistema el contratista debe proporcionar y establecer unas pautas y puntos de trabajo como:

• Las actividades de instalación y comisionado.

• Procedimientos, técnicas y medidas a usar para la instalación y comisionado.

• Planificación de esas actividades.

• Personas, departamentos y organismos responsables para esas actividades.

Y como requerimientos generales relacionados con el proceso de instalación se recomienda:

• Considerar la instalación del SIS de manera separada a otros trabajos eléctricos o de instrumentación de otros sistemas que puedan tener lugar, aunque el contratista ejecutor de la instalación sea el ejecutor de estos otros trabajos. De esta manera minimizaremos posibles problemas de causa común en la instalación y se refuerza la visión de criticidad del sistema de seguridad que se instala.

• Asegurar que el diseño entregado al contratista esta completo y correcto. Es importante que el contratista este altamente cualificado y experimentado en este tipo de instalaciones.


221

• Todos los dispositivos y equipos deben ser instalados según las recomendaciones de los fabricantes y de manera que permitan un fácil acceso para mantenimiento y pruebas.

• El contratista no debe realizar ningún cambio de material sin ser autorizado y aprobado por la ingeniería del sistema.

• El contratista no debe realizar ningún cambio en la calibración de los equipos de campo existentes.

• Proteger los dispositivos y equipos de campo de daños físicos y medioambientales antes de la instalación.

El comisionado asegura que el SIS se ha instalado conforme al diseño detallado. Constituye un chequeo físico que confirma que los equipos, dispositivos y cableados se encuentran instalados de acuerdo al diseño y que los dispositivos de campo son operativos y por tanto el sistema está listo para realizar las PSAT (Pre-Start Acceptance Test), para poder concluir con la validación del sistema.

El chequeo de la instalación se puede separar en dos diferentes fases:

1. Comprobación del dispositivo y cableado de campo. Se trata de comprobar como el dispositivo de campo esta físicamente instalado, cableado, continuidad en el cableado, cajas de conexiones, etiquetado, terminales, etc. Normalmente el contratista termina esta fase sin energía en el sistema y por tanto sin comprobar funcionalidad.

2. Comprobación funcional de los equipos y dispositivos. Comprobación funcional de los dispositivos de campo y del sistema lógico después que el SIS ha sido conectado y energizado.

El propósito final es confirmar que:

• Las fuentes de energía son operativas.

• Los equipos y cableado han sido adecuadamente instalados.

• Los instrumentos han sido adecuadamente calibrados.

• Los dispositivos de campo son operativos.

• El PLC de seguridad y los módulos entrada/salida son operativos.

Existen varias publicaciones IEC que contienen procedimientos y formularios para llevar a cabo las comprobaciones mencionadas y que ayudan a asegurar la correcta instalación y chequeo de los dispositivos como la IEC62381 ed. 1.0 2004. Activities during the factory acceptance test (FAT), site acceptance test (SAT) and site integration test (SIT) for automation systems in the process industry.

SAT1 (Pruebas de aceptación en el sitio): Inspección y pruebas en la planta para validar que el sistema instrumentado de seguridad instalado, así como sus funciones instrumentadas de seguridad, logran cumplir las especificaciones de los requerimientos de seguridad. Ver capítulo 7.8.1 PSAT (Pre-Start Acceptance Test).

1 SAT (Site Acceptance Test).


222

SIT1 (Pruebas de integración en el sitio): Una vez completadas las pruebas SAT del SIS, se integran las comunicaciones entre BPCS y el SIS, así como cualquier otro tipo de comunicación. El sistema integrado es probado como uno solo para garantizar que trabaja adecuadamente. Las señales del SIS, diagnósticos, alarmas desplegadas en las pantallas de control del BPCS (HMI) deben ser probadas.

A continuación se muestra un esquema a modo de información de las diferentes etapas para la correcta integración del sistema BPCS y SIS.

7.8.1 PSAT (Pre-Start Acceptance Test) En esta etapa del proyecto es cuando se valida el SIS instalado en la planta, por esta

razón también se conoce como validación de seguridad funcional total del sistema de seguridad, o lo que más comúnmente se nombra como SIS safety validation. El principal objetivo de esta etapa es confirmar que el sistema instalado y comisionado o bien modificado y sus funciones instrumentadas de seguridad asociadas alcanzan y cumplen los requerimientos especificados, incluyendo la funcionalidad del sistema lógico. Las pruebas PSAT han de certificar el correcto funcionamiento del SIS antes de ser operacionalmente funcional.

Las PSAT proporcionan un test funcional completo del SIS para comprobar la conformidad con las especificaciones de seguridad solicitadas.

Para realizar la validación, una buena práctica esta en definir un plan de las actividades a realizar durante la PSAT, teniendo en cuenta las siguientes consideraciones:

• Las especificaciones de los requisitos de seguridad incluyendo la implementación y resolución de recomendaciones.

• Validación de todos los modos de operación del proceso y sus equipos asociados incluyendo:

− Preparativos del SIS para su uso incluyendo ajustes y reglajes de equipos.

− Modos de operación: arranque, automático, manual, estado normal de operación.

− Reajustes, paros y mantenimiento.

− Las condiciones no normales de operación previsible que son obtenidas a través del análisis de riesgos (HAZOP).

• Personal y departamentos responsables de las actividades de validación.

• Procedimientos y técnicas a utilizar durante la validación.

• Referencia e información de los puntos sobre los que se realizarán pruebas para validar el sistema.

1 SIT (Site Integration Test).


223

Como ejemplos de actividades de validación tenemos:

• Las pruebas de lazo.

• Procedimientos de calibración.

• Simulación del software de aplicación.

• Etc.

Las actividades de validación del sistema han de confirmar el correcto funcionamiento del sistema antes de proceder a poner el sistema en operación. Las actividades PSAT estarán dirigidas, como mínimo, a comprobar las siguientes funcionalidades del sistema:

• El sistema funciona correctamente en modo de operación normal y en modo de operación no normal como arranque, paro de planta, mantenimiento, etc.

• El sistema SIS comunica correctamente con el sistema básico de control (BPCS) o con cualquier otro sistema de control o red y que no se ve afectada su integridad funcionalidad.

• Los sensores, procesador lógico y elementos finales, realizan correctamente su función de acuerdo con las especificaciones de los requerimientos del diseño.

• La documentación del sistema instrumentado de seguridad es consistente con el sistema instalado y con los procedimientos de operación.

• Los sensores activan los puntos de disparo (trip points) definidos en las especificaciones de los requerimientos de seguridad.

• Confirmación de que las funciones de seguridad se realizan como se especifica para valores no válidos de variables de proceso, por ejemplo valores fuera de rango.

• La secuencia de paro, cuando se activa, es la correcta.

• Cualquier evento que sucede en el SIS ofrece una correcta visualización al operador.

• Las funciones de bypass y restablecimiento funcionan correctamente.

• El restablecimiento (reset) de las funciones de seguridad una vez han sido activadas se realiza según las especificaciones del diseño.

• Los sistemas de disparo manual (manual shutdown) funcionan correctamente.

• Confirmación de que fallos, o actuaciones incorrectas en el sistema de control básico (BPCS) u otros sistemas no afectan la funcionalidad del SIS.

• Comprobación de la funcionalidad según las especificaciones requeridas de diseño del SIS ante eventos de pérdida de energía o fallo de algún suministro de energía (eléctrica, aire de instrumentación, etc.) y posterior retorno al estado deseado una vez la energía es restablecida y la función de restablecimiento es activada.

• Operación correcta de las funciones de alarma y diagnóstico.

• Los intervalos de prueba de las funciones de seguridad están documentados en procedimientos de mantenimiento según el SIL requerido.


224

Todos los equipos usados para la calibración y pruebas deben presentar certificados de calibración por parte del contratista encargado de realizar las PSAT o bien por parte de la propiedad si fuese el caso.

La documentación requerida una vez realizado el comisionado y las pruebas PSAT dependen de la complejidad del sistema de seguridad y de los documentos elaborados por el equipo del diseño, pero como mínimo la documentación debe incluir de forma general:

• Identificación de que el SIS ha sido probado.

• Confirmación de que el comisionado esta completado y finalizado.

• Fecha de realización de las PSAT.

• Aceptación por parte de la propiedad. Firma autorizada que confirma que las PSAT han sido realizadas y completadas satisfactoriamente.

• Referencia de los procedimientos utilizados en las PSAT.

Normalmente cuando un sistema completo se está probando es necesario realizar y seguir procedimientos detallados de pruebas, por lo que habitualmente precisaremos de la siguiente documentación como apoyo a la validación del SIS, aparte de la documentación mínima mencionada anteriormente:

• Procedimientos de validación.

• Copia de las especificaciones de los requisitos de seguridad.

• Listado de la programación del PLC de seguridad.

• Diagrama de bloques del sistema.

• Lista completa de entradas/salidas.

• Diagramas de proceso e instrumentación (P&ID).

• Índice de instrumentos.

• Hojas técnicas de los equipos.

• Diagramas de lazo.

• Esquemas eléctricos.

• Configuración del sistema básico de control (BPCS) para cualquier entrada/salida del SIS.

• Planos de implantación de los principales equipos.

• Diagramas de conexiones en cajas de conexión y armarios, así como las interconexiones y terminales de todo el cableado.

• Diagrama de tubings y sistema neumático.

• Documentación del fabricante de los equipos, incluyendo manuales. Si durante las pruebas PSAT existiese alguna discrepancia y no se cumpliese con los

requisitos establecidos durante el diseño se deben estudiar las implicaciones sobre la integridad del sistema que conlleva y evaluar si es necesario regresar a alguna etapa anterior del ciclo de vida de seguridad. Si el fallo es debido a algún problema con los equipos, se debe documentar el fallo y corregirse.


225

En esta etapa del ciclo de vida de seguridad ya hemos comprobado que el sistema instrumentado de seguridad trabaja correctamente según las especificaciones requeridas. Aquí finalizaría la fase “Realización” o “Implementación”, con el SIS instalado y listo para ser puesto en servicio. Solo nos quedaría comprobar que el plan de mantenimiento este realizado y sea acorde con los periodos establecidos en las SRS y realizar una última revisión de seguridad llamada PSSR (Pre-Start Safety Review) para poder poner en servicio el SIS (Capítulo 7.9 Operación y Mantenimiento).






7.9 Operación y Mantenimiento Se trata de la fase más larga del ciclo de vida del SIS, es el periodo durante el cual la

planta es operativa. Es importante realizar una política de mantenimiento y operación adecuada que garantice que el SIL de cada SIF no se degrada y se mantiene dentro de los límites especificados y que la seguridad funcional del sistema instrumentado de seguridad se mantiene dentro de las especificaciones de integridad de seguridad requerida. Por lo que se considera que el mantenimiento del SIS es una de las partes más importantes a realizar durante la operación de la planta con el fin de garantizar que el SIS no se ha deteriorado o degradado, manteniendo el nivel de integridad especificado.

7.9.1 Procedimientos de operación y mantenimiento Antes de poner en marcha el sistema instrumentado de seguridad (start up) y en

paralelo con el desarrollo de la ingeniería y diseño del sistema, se han de haber desarrollado y aprobado los procedimientos de operación y mantenimiento (ver ciclo de vida de seguridad, capítulo 7.1), así como haber establecido unas pautas de entrenamiento del personal de operación y mantenimiento. Estos procedimientos y entrenamiento del personal son requisitos básicos para la validación del SIS y posterior puesta en marcha.

La norma IEC 61511 cláusula 16 requiere que haya una planificación de operación y mantenimiento para el sistema instrumentado de seguridad, que incluya los procedimientos para trabajar con el plan de mantenimiento y operación establecido.

El plan de mantenimiento detallará de manera escrita los procedimientos para realizar mantenimiento, pruebas y reparación del SIS a fin de mantener el nivel de integridad de seguridad requerido y definido a lo largo de su vida útil. El plan de mantenimiento ha de diseñarse de tal forma que permita revelar problemas que el SIS no detecta automáticamente. Entre los procedimientos que debe incluir un programa de mantenimiento del sistema instrumentado de seguridad destacamos:




226

• Planificación regular de pruebas funcionales1 (proof testing) de las funciones de seguridad según el intervalo de pruebas definido para alcanzar el SIL objetivo de cada función (normalmente anual).

• Mantenimiento planificado e inspección del PLC de seguridad. Cambio de baterías de la CPU, cambio de filtros de ventilación de equipos y armarios, test de las fuentes de alimentación e inspección visual del equipo según recomendaciones del fabricante con el fin de mantener la fiabilidad del equipo. Una buena práctica es realizar un contrato de mantenimiento con el fabricante que gestione y supervise el mantenimiento del equipo en coordinación con el ingeniero E&I de la planta. Los fabricantes disponen de sus propios planes de mantenimiento y son quienes mejor conocen sus equipos y de esta manera siempre nos mantendrán informados de posibles “upgrades” y del ciclo de vida del hardware y software del equipo PLC de seguridad.

• Mantenimiento planificado e inspección de sensores, elementos finales de control, cableado y alimentación de aire a válvulas.

• Procedimiento de pruebas después de realizar la reparación de fallos detectados con la realización de pruebas.

• Personal y departamentos responsables para estas actividades.

El plan de operación detalla de manera escrita procedimientos para que el SIS proporcione el nivel de reducción de riesgo requerido. Detallará la manera correcta de operar el SIS, estos procedimientos suele estar incluidos en el procedimiento de operación de cada unidad de planta. Un plan de operación cubre temas como:

• Actividades operacionales de rutina, válvulas de carrera parcial, pruebas de instrumentos redundantes, etc.

• Actividades operacionales anormales, como pasos a seguir cuando un transmisor SIS falla, que se debe hacer si mantenimiento trabaja en una válvula de bloqueo mientras la producción continúa, etc.

• Conocimiento de los límites de operación segura (puntos de disparo) y que implicaciones conlleva, así como se debe actuar en caso de alarma o disparo del SIS.

• Como el SIS lleva el proceso a un estado seguro.

• Correcto uso de bypass de operación, permisivos, reset de sistemas, etc.

• Personal y departamentos responsables para estas actividades. Los procedimientos de operación y mantenimiento son desarrollados para explicar

métodos correctos y seguros de operar y mantener el SIS. Estos procedimientos, aunque no los únicos, suelen ser los siguientes:

• Procedimientos de acciones rutinarias necesarias para mantener la seguridad funcional del SIS tal y como se diseñó, por ejemplo los intervalos de pruebas de lazos y funciones definidos al determinar el SIL correspondiente, pruebas de válvulas de carrera parcial y pruebas de aceptación total del lazo completo.

1 Ver capítulo 7.9.3 Pruebas funcionales del SIS (proof. testing)


227

• Procedimientos de acciones a tomar para prevenir estados inseguros o reducir las consecuencias de un estado peligroso durante la realización de mantenimiento o desvíos de operación, por ejemplo cuando un sistema necesita ser bypaseado para la realización de pruebas o mantenimiento.

• Procedimientos de acciones a tomar a alarmas y disparos en demanda o en falso del SIS, investigación, análisis y reporte del disparo. Procedimientos de restablecimiento y de reinicio del sistema.

• Procedimientos que aseguran el correcto funcionamiento de los equipos del SIS.

• Procedimientos de cómo mantener los resultados de las pruebas realizadas en el SIS.

• Procedimientos de mantenimiento de cómo actuar en caso de detectar fallos en cualquier parte del SIS, procedimientos de reparación y diagnóstico, de revalidación, presentación de informes de lo ocurrido, etc.

• Procedimiento que asegure que los equipos utilizados en pruebas y mantenimiento están correctamente calibrados.

• Dependiendo de la complejidad del SIS, procedimientos de como el SIS lleva el proceso a un estado seguro, dependiendo del disparo ocurrido.

Incluso la mejor planificación no puede prever todos los eventos, por lo que los procedimientos podrán requerir revisión eventualmente. Esta revisión generalmente seguirá a pruebas y auditorias de seguridad funcional del sistema de seguridad, y se realizará con los datos recopilados por el departamento de mantenimiento.

Requerimientos de formación. El personal de operación y mantenimiento debe estar completamente formado, entrenado y evaluado en todos los aspectos de los planes y procedimientos y su competencia debe estar documentada y se debe mantener actualizada. Generalmente el personal de mantenimiento, operación e instrumentación realizará cursos de operación y mantenimiento del Sistema Instrumentado de Seguridad. Estos cursos deben considerar la filosofía de operación, del mantenimiento preventivo, predictivo y de las pruebas de diagnosis del SIS, interpretación de fallos y diagnósticos, operación del software de control, supervisión y alarmas, arranque y puesta en servicio del sistema, etc.

Por tanto los operadores estarán capacitados en función y operación del SIS, y su formación asegurará el conocimiento de:

• Como se realizan las funciones del SIS (puntos de disparo y acciones resultantes que toma el SIS).

• Los riesgos contra los que protege el SIS.

• Operación y consecuencia de todos los bypass y bajo qué circunstancias deben ser aplicados.

• Cuando y bajo qué circunstancias se ha de realizar un paro manual y que afectación recibe la planta, incluye el reset del sistema y el rearranque del sistema para que funcione de manera segura otra vez.

• Acciones a tomar bajo la activación de cualquier alarma del SIS.

• El operador debe comprender los requisitos de prueba del SIS y que ocurre si se retrasan las pruebas.


228

El personal de mantenimiento estará capacitado para mantener el SIS funcionalmente operativo, manteniendo su integridad objetivo (SIL). Para ello debe estar capacitado para:

• Tener conocimientos de programación básica y configuración del SIS.

• Analizar, entender y aplicar la lógica del SIS.

• Entendimiento de los requerimientos operacionales del sistema desde la perspectiva de operación y desde la perspectiva de los ingenieros a cargo del SIS.

• Entendimiento de los estándares y normas existentes referidos al uso del SIS, incluido las guías propias que establece la compañía.

A lo largo del desarrollo del SIS se dan diferentes oportunidades y medios que pueden aprovecharse para realizar una formación bastante efectiva, estas son:

• Preparación de las especificaciones de los requisitos de seguridad.

• Realización de las pruebas FAT.

• Simulación de la lógica.

• Aula de formación.

• Cursos específicos de equipos.

• Manuales.

• Etc.

La norma OHSA 29 CFR 1910.119 (Process Safety Management of Highly Hazardous Chemicals) define requisitos para la formación y entrenamiento sobre sistemas de seguridad.

7.9.2 PSSR (Pre-Startup Safety Review) Una vez el SIS ha sido instalado y antes de la puesta en marcha del sistema se ha de

realizar una revisión de seguridad (Paso 4 del ciclo de vida de seguridad SIS y etapa 3 recomendada por la IEC 61511) (Ver capítulo 6.2.2 y capítulo 7.1). La subcláusula 5.2.6.1.1 de ANSI/ISA 84 y la IEC 61511 1-3 indica que un procedimiento deberá ser definido, ejecutado y evaluado en una evaluación de la seguridad funcional, de tal manera que se pueda tener juicio en cuanto a la seguridad funcional y la integridad de seguridad alcanzado por el sistema instrumentado de seguridad. El procedimiento requiere ser aprobado por un equipo de evaluación designado que incluye expertos necesarios en la aplicación, en la técnica y en la operación para la instalación en particular. Como en todo equipo de evaluación de seguridad como mínimo ha de haber una persona sénior competente (ingeniero E&I con experiencia en SIS) no involucrada en el equipo de diseño del proyecto

La PSSR incluirá las siguientes actividades del SIS:

• Verificación que el SIS fue diseñado, instalado y probado de acuerdo a las especificaciones de los requerimientos de seguridad (SRS) y que cualquier diferencia ha sido identificada y resuelta.

• Los procedimientos de seguridad, operación, mantenimiento y emergencia pertenecientes al sistema instrumentado de seguridad están en su lugar y son los adecuados.


229

• Las recomendaciones derivadas de la evaluación de peligros y riesgos que aplican al SIS han sido implementadas y resueltas.

• Los cambios de diseño durante el proyecto han sido procedimentados, están en su lugar y han sido implementados.

• Las recomendaciones derivadas de evaluaciones y revisiones sobre seguridad funcional han sido resueltas.

• La formación y entrenamiento del personal involucrado con la operación y mantenimiento del SIS se ha completado.

Todos los resultados de las actividades han de ser documentados y firmados por el director de la planta y por el ingeniero E&I. Una vez realizada la prueba de validación el SIS es entregado por parte del ingeniero de diseño y mantenimiento a operación y en concreto al plant manager (director de planta) para comenzar con la etapa de arranque, operación, mantenimiento, según los procedimientos realizados, y pruebas funcionales periódicas. (ANEXO O: PSSR)

7.9.3 Pruebas funcionales del SIS (Proof Testing)1 El requerimiento básico para realizar las pruebas funcionales del sistema está en

asegurar que las funciones de seguridad SIF y por tanto el SIS sigue cumpliendo con la reducción de riesgo para el que fue diseñado, es decir, sigue cumpliendo el SIL objetivo deseado.

Ya en la fase de diseño se tienen en cuenta unos requerimientos específicos de test y mantenimiento como el intervalo de test (capítulo 7.5.12 Mantenimiento y pruebas funcionales) y es en esta fase donde se han de desarrollar los procedimientos de pruebas de funcionamiento para cada función instrumentada de seguridad con el fin de revelar fallos no detectados por diagnósticos (covert faults) que hacen que la función de seguridad no opere de acuerdo con las especificaciones de los requisitos de seguridad establecidos.

Los procedimientos de cada prueba funcional describirá todos los pasos a realizar para cada función instrumentada de seguridad e incluirá pruebas de:

• Funcionamiento correcto de cada sensor (calibración incluida) y elemento final.

• Realización correcta de la acción lógica.

• Monitoreo correcto de alarmas e indicaciones.

Las pruebas funcionales (test de funcionamiento) han de realizarse según los procedimientos y con una periodicidad establecida, normalmente un año (no excediendo nunca de cinco años). Como aspectos fundamentales considerados para establecer una frecuencia de pruebas y que se recoge en las especificaciones de los requisitos de seguridad (SRS) tenemos:

• Reducción de riesgo requerido.

• Fiabilidad de los componentes utilizados en el SIS.

1 En el capítulo 7.5.12 Mantenimiento y pruebas funcionales se dió una visión general del porque de

estas pruebas, como inciden en el cálculo del nivel de integridad de seguridad objetivo deseado y como establecer un periodo de pruebas que se ajuste a las necesidades del sistema y de la planta.


230

• Requerimientos específicos de la planta (condiciones ambientales, de proceso, etc.).

• Arquitectura de la SIF (redundancia).

7.9.3.1 Metodología de test

El test debe ser realizado de manera que refleje las condiciones de trabajo de una manera lo más realista posible.

Siempre que sea posible se hará la prueba del lazo completo, sensor, lógica SPLC y actuador.

Cualquier bypass que sea necesario para la realización de las pruebas funcionales debe estar procedimentado para mantener el estado seguro del proceso. En plantas continuas es un elemento comúnmente utilizado.

Periódicamente se deben realizar inspecciones visuales, fuera del intervalo de prueba que marca el procedimiento, para asegurar que los elementos de seguridad no sufren deterioros (tornillería defectuosa, cableado en estado precario, bandejas y conductos rotos, calorifugado en mal estado, perdida de etiquetado de seguridad, soportación en mal estado, etc.) y que no se ha realizado ninguna modificación no autorizada.

El test debe realizarse cuando establezca el plan de mantenimiento de pruebas periódicas de las SIF y siempre después de realizar una reparación, sustitución, etc., de algún dispositivo o elemento de la SIF. Asimismo si temporalmente se ha parado la planta y antes de la puesta en marcha.

Una vez realizado el test, toda la información relevante será documentada. Para ello es recomendable tener unas hojas de test que nos sirvan de guía para no descuidar ningún elemento en la prueba. Por tanto para la realización de las pruebas funcionales de seguridad de las funciones instrumentadas de seguridad se requiere seguir un procedimiento escrito y llenar unas hojas de test para documentar el estado de la prueba realizada.

Cualquier deficiencia encontrada durante la prueba debe ser corregida de manera segura y rápida.

La frecuencia de test de algunos lazos será reevaluada con el fin de ajustar a una realidad que obtenemos de la experiencia de nuestro proceso y planta, obtenida por varios factores como datos históricos de test, experiencia en de la planta, degradación de los dispositivos utilizados, fiabilidad del software, etc.

El ingeniero de mantenimiento de electricidad e instrumentación (E&I engineer) de la planta es el responsable de desarrollar el procedimiento específico de pruebas, de planificar y coordinar las pruebas y finalmente de validarlas.

Las pruebas serán realizadas por los técnicos instrumentistas bajo la supervisión del ingeniero E&I, siendo los responsables de realizar los trabajos según especifica el procedimiento.

El jefe de operación o ingeniero de operación junto con el personal de operación de la planta son los responsables de mantener la planta en estado seguro mientras se realiza el test.


231


El ingeniero E&I archivará todos los informes, se recomienda en formato electrónico y en papel, que certifican que las pruebas funcionales de seguridad e inspecciones han sido realizadas como es requerido. Los informes, como mínimo, deben contener la siguiente información:

• Número Tag.

• Intervalo de test.

• Descripción del test e inspección realizada.

• Fecha de realización del test e inspección.

• Firmas de las personas que realizan el test e inspección.

• Firmas del ingeniero de planta E&I y del Plant Manager.

• Resultado del test e inspección.

(ANEXO N: Pruebas de Lazo Clase A)







7.10 Modificación del SIS durante operación A lo largo de toda la vida de operación de la planta es inevitable que se realicen

cambios. Cambios en el proceso, en equipos, en tecnología, software, procedimientos, incluso seguridad. Cualquier cambio que se realice, sin importar la magnitud del cambio y que afecte a la seguridad de la planta ha de ser manejado y dirigido con sumo cuidado ya que pueden tener grandes impactos con relación a la seguridad.

Como ejemplo1 podemos tomar la explosión e incendio de 1974 en Flixborough (Reino Unido) en la fábrica Nypro, donde murieron 28 trabajadores de la planta debido a la inadecuada atención que se dio al impacto de seguridad de un cambio de tubería. Este accidente cambio la forma de tratar la seguridad por parte de las industrias. La planta de Nypro producía un producto intermedio para producir Nylon. El proceso consistía en una serie de seis reactores de 20 toneladas de capacidad y conectados parcialmente por un junta flexible, donde reaccionaba ciclohexano líquido con el aire fresco aportado en cada uno de los reactores para producir ciclohexanol. Al descubrir una grieta y fuga en uno de los

1 La universidad URV de Taragona dispone de Cátedra Enresa-URV de Seguridad Industrial donde se

describen algunos casos de accidentes catastróficos sucedidos en los últimos años.




232

reactores, se optó por bypasear el reactor con una tubería temporal con el fin de mantener la producción y sacar de línea el reactor para ser reparado.

No se consultó a ningún ingeniero especializado en seguridad ni en proceso. El único diseño que se realizó sobre el cambio fue un plano dibujado con una tiza en el suelo del taller. Una vez modificado el proceso se realizó un test de presión neumático a 127 psig en lugar de un test hidráulico y a una presión de 156 psig, como marcaba el límite de la válvula de seguridad del proceso, por lo que se violaban los estándares y guías británicas del momento. La tubería funcionó durante aproximadamente 2 meses hasta que hubo un ligero incremento de presión (por debajo del punto de disparo de la válvula de seguridad) que causó flexión en la tubería de tal forma que fue suficiente para expulsar la tubería y dejar las dos bridas de 28 pulgadas abiertas, produciendo una nube de gas que explosiono con el resultado de 28 muertes y 36 heridos de gravedad, destrucción de la planta, destrucción de edificios en un área de 600 metros, rotura de cristales en un área de 12 kilómetros y fuego en la planta durante 10 días que obstaculizó las labores de rescate.

Como principal lección que podemos tomar es que todas las modificaciones deben ser diseñadas y revisadas por personal cualificado y que hay que seguir procedimientos estrictos de gestión de cambios1 para analizar el impacto de los cambios.

OSHA 29 CFR 1910.119 “Process Safety Management of Highly Hazardous Chemicals” requiere establecer e implementar procedimientos escritos para gestionar los cambios en procesos químicos, en la tecnología, equipos y procedimientos, y cambios en las instalaciones que afecten al proceso.

ANSI/ISA 84.00.01 establece que los procedimientos de la gestión de modificaciones deben estar realizados para poder iniciar, documentar, revisar, implementar y aprobar los cambios en el sistema instrumentado de seguridad antes de realizar el cambio.

IEC 61511 Parte 1 Claúsula 17 establece los requerimientos para las modificaciones del sistema instrumentado de seguridad.

En ambas normas y estándares no aplica a los cambios en especie “replacement in kind”, es decir, por ejemplo, un instrumento por otro igual (misma tasa y modo de fallos) y realizando la misma función.

7.10.1 Cuando es necesario aplicar la gestión de modificaciones (MOC) Los procedimientos MOC (Management Of Change) deben ser realizados para

cambios que se realicen en: • El proceso.

• Los procedimientos de operación.

• Las regulaciones de seguridad.

• Las especificaciones de los requerimientos de seguridad.

• El sistema de seguridad.

• El software o firmware1 (embebido, de aplicación o de utilidades) por un upgrade del sistema.

1 También conocido como control de cambios


233

• Para correcciones de fallos sistemáticos.

• Los procedimientos de pruebas funcionales o mantenimiento, por ejemplo incorporación de bypass para la realización de las pruebas.

• El diseño del sistema como resultado del incremento de la probabilidad de fallo en demanda del SIS

7.10.2 Requerimientos de los procedimientos MOC Como se comentó el objetivo de gestionar las modificaciones esta en asegurar que

los cambios en cualquier sistema instrumentado de seguridad estén adecuadamente planificados, revisados y aprobados antes de realizar la modificación y asegurar que la integridad de seguridad requerida se mantiene.

Es muy importante, antes de realizar modificaciones, obtener las autorizaciones adecuadas. Normalmente las autorizaciones vienen dadas por más de una persona de la gerencia de cambios y probablemente también requerirá la autorización del departamento de producción (operativa). Es operativa quien opera la planta y precisan saber en todo momento que sucede.

El hecho de mantener al departamento de operativa dentro del grupo de gerencia es muy importante como podemos ver después de lo ocurrido en la plataforma petrolífera Piper Alpha2 ubicada en el Mar del Norte y propiedad de OPCAL, donde el 6 de julio de 1988 una serie de explosiones destruyeron toda la plataforma con un balance de 167 hombres muertos (59 lograron sobrevivir). Es considerado el mayor desastre de la historia en la industria de extracción de petróleo. En resumen, la causa principal del accidente fue el desconocimiento por parte de operativa del turno entrante de que se había quitado de servicio un compresor y se había tapado con un disco la tubería. Hubo un fallo en un segundo compresor y operación realizó una serie de maniobras para llevar el petróleo al primer compresor sin saber que estaba fuera de servicio. Una serie de fallos y malas actuaciones llevo al desastre.

Consideraciones a tomar antes de realizar modificaciones en el sistema de seguridad:

• Base técnica de la propuesta de cambio.

• El impacto que tendrá el cambio sobre la seguridad.

• Como afecta y modifica la operación y procedimientos.

• Periodo de tiempo necesario para realizar el cambio.

• Que autorizaciones son necesarias para realizar el cambio y obtención de las mismas.

1 Un cambio en el firmware constituye una modificación lo suficientemente significativa para

justificar seguir los procedimientos MOC. Los fabricantes tienen la capacidad de modificar y agregar funcionalidad a los dispositivos a través de cambios de software. Normalmente es el fabricante quien gestiona que los cambios no distorsionan la seguridad requerida.

2 Existen numerosos videos, reportajes y reseñas donde se enumeran la serie de eventos que condujo al desastre. Uno de los documentales más técnico y relacionado con el sistemas de seguridad lleva por nombre “Piper Alpha, la espiral hacia el desastre” realizado por Coastal Training Technologies Corportaion. Se trata de un documental básico para entender la importancia de procedimentar la gestión de cambios.


234

• Espacio de memoria requerido en el controlador lógico, así como el impacto que tendrá en el mismo.

• Efecto que tendrá el cambio sobre el tiempo de respuesta.

A continuación es importante realizar una evaluación del cambio para asegurar que el requisito de integridad de la seguridad ha sido evaluado y se mantiene y que personal de las disciplinas afectadas ha sido incluido en el proceso de evaluación.

Todo el personal afectado por el cambio ha de ser informado y formado antes de implementar el cambio y ponerlo en línea.

7.10.3 Documentación Las modificaciones que se realizan en un sistema instrumentado de seguridad han de

estar debidamente documentadas y mantenidas para todo el personal que trabaje con el sistema. La documentación al menos ha de incluir:

• Una descripción de la modificación.

• Motivo de la modificación.

• Peligros que pueden verse afectados.

• Análisis del impacto de la modificación en el sistema instrumentado de seguridad.

• Todas las aprobaciones que se han reunido hasta la implementación del cambio.

• Documentación del diseño (hardware y software).

• Aplicación lógica.

• Las pruebas utilizadas para verificar que la modificación se ha implementado adecuadamente y que el sistema instrumentado de seguridad trabaja como es requerido, y los resultados. Similar a un pre-strat acceptance test (PSAT).

• Las pruebas utilizadas para verificar que la modificación no ha tenido impacto en el resto del sistema instrumentado de seguridad, y los resultados.

• Procedimientos de operación y mantenimiento actualizados.

• Documentación secundaria afectada por el cambio como manuales, planos, registros de instrumentos, recomendaciones de recambios, etc.

• Realización de las especificaciones de los requisitos de seguridad del cambio realizado y sistema que se haya visto afectado.

Por último y muy importante, eliminar toda la documentación obsoleta. Esta documentación solo puede producir errores en trabajos de operación, mantenimiento, futuras modificaciones, etc.






235

7.10.4 Decomisionado El decomisionado de un sistema instrumentado de seguridad no deja de ser una

modificación del SIS. Cuando un SIS es desactivado, se requieren los mismos pasos y procedimientos del MOC, de forma que se asegure que otros sistemas o procesos que puedan estar relacionados con el sistema a decomisionar no se vean afectados, por lo que todas las actividades de decomisionado requiere procedimentales como un cambio y ser dirigido como una actividad de modificación del sistema instrumentado de seguridad.

Anexos Anexo A: Vista general del Ciclo de Vida

236

8 ANEXOS

8.1 ANEXO A: Vista general del ciclo de vida (IEC 61511) Vista general del ciclo de vida de seguridad según norma IEC 61511.

Fase o actividad del Ciclo de Vida de Seguridad

Objetivos

Requisitos Cláusula de

la norma IEC 61511

Entradas Salidas Caja

número Título

1 Análisis y evaluación de riesgos.

Determinar los peligros y eventos peligrosos del proceso y los equipos asociados, la secuencia de eventos que llevaron al evento peligroso, los riesgos asociados del proceso al evento peligrosos, los requisitos para la reducción de los riesgos y las funciones de seguridad requeridas para satisfacer la necesaria reducción de riesgo.

8

del presente trabajo 7.2

Diseño de proceso, planos de distribución, objetivos de seguridad.

Una descripción de los peligros, de la función de seguridad requerida y de la reducción de los riesgos asociados.

2 Asignación de funciones de seguridad a las capas de protección.

Asignación de las funciones de seguridad para las capas de protección y para cada SIF, con el SIL asociado.

9


Una descripción de las FIS (SIF) requeridas y los requisitos de integridad de seguridad asociados.

Descripción de la asignación de los requisitos de seguridad (ver cláusula 9 de norma IEC 61511).

3 Especificación de los requisitos de seguridad del SIS.

Especificar los requisitos para cada SIS, en términos de las SIF requeridas y su integridad de seguridad asociada, a fin de lograr la seguridad funcional requerida.

10


Descripción de la asignación de los requisitos de seguridad (ver cláusula 9 de norma IEC 61511).

requisitos de seguridad de los SIS; Requisitos de seguridad del software.

4 Diseño e ingeniería del SIS.

Diseñar el SIS para satisfacer los requisitos de las SIF y la integridad de seguridad.

11 y 12.4


Requisitos de seguridad del SIS. Requisitos de seguridad de los programas.

Diseño del SIS de acuerdo con los requisitos de seguridad del SIS; planificación para pruebas de integración del SIS.

5 Instalación, “comisionado” y validación del SIS.

Integrar y probar el SIS. Validar que el SIS cumple en todo respecto a los requisitos de seguridad en términos de SIF y de integridad de seguridad requerida.

12.3, 14 y 15


Diseño del SIS; Plan de pruebas de integración del SIS; Requisitos de seguridad del SIS; Plan para la validación de la seguridad del SIS.

Funcionamiento completo del SIS de acuerdo con los resultados del diseño de SIS resultado de las pruebas de integración del SIS. Resultados de las actividades de instalación, “comisionado” y validación.

6 Operación y mantenimiento del SIS.

Garantizar que la seguridad funcional del SIS se mantiene durante la operación y mantenimiento.

16


Requisitos del SIS; Diseño del SIS. Plan para operación y mantenimiento del SIS.

Resultados de las actividades de operación y mantenimiento.

7 Modificación del SIS

Hacer correcciones, mejoras o adaptaciones al SIS, asegurando que el SIL objetivo se alcanza y mantiene.

17


Requisitos de seguridad del SIS revisados.

Resultados de la modificación del SIS.

Anexos Anexo A: Vista general del Ciclo de Vida

237

8 Desmantelamiento Garantizar la correcta revisión, organización del sector a desmantelar y garantizar que las SIF que permanecen son apropiadas.

18

del presente trabajo 7.10.4

Requisitos de seguridad e información del proceso de como quedó (as built).

SIF puesta fuera de servicio.

9 Verificación del SIS

Probar y evaluar los resultados de una fase dada para garantizar la exactitud y consistencia con respecto a los productos y normas establecidas, como entrada a esa fase.

7 y 12.7


Plan para la verificación del SIS para cada fase.

Resultados de la verificación del SIS para cada fase.

10 Evaluación de la Seguridad funcional del SIS.

Investigar y llegar a una decisión sobre la seguridad funcional alcanzada por el SIS.

5


Planificación para la evaluación de la seguridad funcional del SIS. Requisitos de seguridad del SIS.

Resultados de la evaluación de la seguridad funcional del SIS.

Anexos Anexo B: Ejemplo HAZOP Sistema Antorcha

238

8.2 ANEXO B: Ejemplo HAZOP Sistema Antorcha. Descripción:

El sistema de antorcha cumple las siguientes funciones:

• Eliminación segura de gases y líquidos procedentes del sistema de descarga, descarga manual o descarga por presión excesiva en diferentes sistemas (columna depropanizadora, columna deetanizadora, PP-Splitter, activación EBDD1, etc.).

• Despresurización y vaciado de las instalaciones de proceso en caso de incidentes o para fines de mantenimiento.

• Evaporación de los líquidos después de (y durante) el vaciado del sistema.


1 EBDD: sitema de Emergencia, Bloqueo, Drenaje y Despresurización que se activa de forma manual

para reducir riesgos en diferentes unidades de fraccionamiento de la planta.

Anexos Anexo C: Respuestas a las Recomendaciones

240

8.3 ANEXO C: Respuestas a las Recomendaciones


Anexos Anexo D: Asignación SIL: Matriz de Riesgo

241

8.4 ANEXO D: Asignación SIL a una SIF: Matriz de Riesgo


Anexos Anexo E: P&ID

242

8.5 ANEXO E: P&ID


Anexos Anexo F: CEM; Matriz Causa Efecto

243

8.6 ANEXO F: CEM, Matriz Causa Efecto


Anexos Anexo G: SRS: Especificaciones para las SIF

244

8.7 ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de Seguridad (SIF)

8.7.1 SRS: SIF Nº 1:

8.7.2 SRS: SIF Nº 2:


Anexos Anexo H:Cálculo SIL; Verificación

245

8.8 ANEXO H: Cálculo SIL; Verificación

8.8.1 SIF Nº 1:

Parte intencionadamente en blanco: Tratamiento confidencial

SIL requerido: SIL3

Parte Sensor: 3 interruptores de nivel con votación 2oo3 por nivel alto (80%). Mobrey horizontal

switches.

Del manual de seguridad funcional del equipo (M310/FSM, enero 2012) y del análisis FMEDA realizado por EXIDA obtenemos los siguientes resultados:

Clasificación del interruptor de nivel: TIPO A (Ver IEC61508 parte 2 sección 7.4.3).

Basándonos en el análisis (SFF entre 0 y 60%) el elemento alcanza SIL 1 con HFT=0 (1oo1) y SIL 2 con HFT=1.

Si se justifica que en la selección del equipo se ha usado el criterio de “uso previo” el valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver capítulo 7.5.8.1 HFT según norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 3 con HFT = 1.

Votación: 2oo3

HFT: 1

MTTR 8 horas

Intervalo de test 12 meses

β -

Cobertura de test 100%


246

Utilizando el método de las ecuaciones simplificadas votación 2oo3:

( )[ ] [ ]

×+

××+×××+×=


FDUDDDUDU

avg λλβλλλ

( )[ ] ( )[ ] SF

DDSDDSS MTTRSTR λλλβλλλ ++×+×+××= 6

PFDavg,s = 2.918E-06 SIL 3

HFT= 1

MTTFS,S = 34274 años

Parte PLC de seguridad El comportamiento de la seguridad funcional y los disparos en falso del PLC de

seguridad se puede cuantificar de la forma siguiente:

PFDavg,LS = 1E-05 SIL 3

HFT = 1

MTTFS,LS = 600 años

El PLC de seguridad está certificado por TÜV para aplicaciones hasta SIL 3.

Equipo: NN

MTTR: 8 horas

Intervalo de test: 12 meses

Parte Elemento final Válvulas ON/OFF: XOMOX tipo

.

La válvula por su condición fail safe retorna a su posición de seguridad a falta de energía por lo que el análisis se centrará en la disponibilidad y fiabilidad de la electroválvula.

La electroválvula ASCO tipo 551 está certificada por EXIDA para aplicaciones hasta SIL 3.

Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los siguientes resultados:

Clasificación del equipo solenoide: TIPO A (Ver IEC61508 parte 2 sección 7.4.3).

Basándonos en el análisis (SFF entre 60 y 90%) el elemento alcanza SIL 3 con HFT=1 y SIL 2 con HFT=0.


247

Si se justifica que en la selección del equipo se ha usado el criterio de “uso previo” el

valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver capítulo 7.5.8.1 HFT según norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 3 con HFT = 0.

Votación: 1oo1

HFT: 0

MTTR 8 horas


β -


Utilizando el método de las ecuaciones simplificadas:

×+

×=

22TITIPFD D

FDU

avg λλ SF

DDSSTR λλλ ++=

PFDavg,FE = 7,55E-04 SIL 3

HFT= 0

MTTFS,FE = 90 años


248

8.8.2 SIF Nº 2:

Parte intencionadamente en blanco: Tratamiento confidencial

SIL requerido: SIL2

Parte Sensor: 1 transmisor de presión con votación 1oo1 por baja presión (1.2 barg). Transmisor de

presión Fisher Rosemount (EMERSON) tipo 2088G.

Del análisis FMEDA realizado por EXIDA (Project: 2088 pressure transmitter) obtenemos los siguientes resultados:

Clasificación del transmisor de presión: TIPO B (Ver IEC61508 parte 2 sección 7.4.3).

Basándonos en el análisis (SFF entre 60 y 90%) el elemento alcanza SIL 1 con HFT=0 (1oo1).

FIT is the abbreviation for Failure In Time. One FIT is 1E-09 failure per hour

Si se justifica que en la selección del equipo se ha usado el criterio de “uso previo” el valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver capítulo 7.5.8.1 HFT según norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 2 con HFT = 0.

Votación: 1oo1

HFT: 0

MTTR 8 horas


β -



249


×+

×=

22TITIPFD D

FDU

avg λλ SF

DDSSTR λλλ ++=

PFDavg,s = 5.52E-04 SIL 3

HFT= 0

MTTFS,S = 313 años

Parte PLC de seguridad El comportamiento de la seguridad funcional y los disparos en falso del PLC de

seguridad se puede cuantificar de la forma siguiente:

PFDavg,LS = 1E-05 SIL 3

HFT = 1

MTTFS,LS = 600 años

El PLC de seguridad está certificado por TÜV para aplicaciones hasta SIL 3.

Equipo: NN

MTTR: 8 horas

Intervalo de test: 12 meses

Parte Elemento final PV64012

Válvula de globo ON/OFF MASONEILAN serie 21000

La válvula por su condición fail safe retorna a su posición de seguridad a falta de energía por lo que el análisis se centrará en la disponibilidad y fiabilidad de la electroválvula.

La electroválvula ASCO tipo 553 está certificada por EXIDA para aplicaciones hasta SIL3.

Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los siguientes resultados:

Clasificación del equipo solenoide: TIPO A (Ver IEC61508 parte 2 sección 7.4.3).

Basándonos en el análisis (SFF entre 60 y 90%) el elemento alcanza SIL 2 con HFT=0.


250

Si se justifica que en la selección del equipo se ha usado el criterio de “uso previo” el

valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver capítulo 7.5.8.1 HFT según norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 3 con HFT = 0.

Votación: 1oo1

HFT: 0

MTTR 8 horas


β -



×+

×=

22TITIPFD D

FDU

avg λλ SF

DDSSTR λλλ ++=

PFDavg,FE = 7.6E-04 SIL 3

HFT= 0

MTTFS,FE = 90 años

Resultado para la función de seguridad SIF Nº2 con arquitectura 1oo1 en parte sensor y 1oo1 en parte elemento final:

∑∑∑ ++= iFELSiSSIF PFDPFDPFDPFD ,,

∑∑∑ ++= iFELSiSSIF STRSTRSTRSTR ,,

SIF

spurious

STRMTTF 1

=

PFDavg = 1.32E-03 RRF = 756 SIL 2

MTTFS,SIF = 62.5 años

PFDavg RRF SIL (PFDavg)

SIL (Restricciones HFT

IEC61508)

1.32E-03 756 SIL 2 SIL 2


251

Anexos Anexo I:Hojas Técnicas

252

8.9 ANEXO I: Hojas Técnicas


Anexos Anexo J:Lazos de Control

253

8.10 ANEXO J: Lazos de Control


Anexos Anexo K: Diagramas Lógicos

254

8.11 ANEXO K: Diagramas Lógicos


Anexos Anexo M: Sinópticos BPCS

255

8.12 ANEXO M: Sinópticos BPCS EL sistema básico de control del proceso está basado en un sistema DeltaV de

EMERSON versión 10.3.


Anexos Anexo N: Pruebas de Lazo de Seguridad

256

8.13 ANEXO N: Pruebas de Lazo de Seguridad Las pruebas del correcto funcionamiento de los lazos de seguridad y por tanto de todos

sus componentes, elemento de medición (sensor), PLC de seguridad, elemento final de control (actuador) así como el correcto funcionamiento de la lógica es un requisito de seguridad de obligado cumplimiento.

El intervalo de test vendrá dado por las especificaciones de los requisitos de seguridad y es un punto clave a la hora de calcular el SIL alcanzado por cada uno de las funciones de seguridad. Como norma general las pruebas son de carácter anual, aunque en aquellos elementos finales de control que normalmente están en una posición fija se recomienda y es una buena práctica realiza la prueba de funcionamiento en intervalos de 6 meses.

(Ver capítulo 7.9.3 Pruebas funcionales del SIS) A continuación se mostrará algún ejemplo de procedimientos de diferentes pruebas de

lazo del sistema de antorcha


Anexos Anexo O: PSSR Pre-Start Safety Review

257

8.14 ANEXO O: Hojas PSSR; (Pre Start Safety Review)


Anexos Anexo P: Protección de la información SIS

258

8.15 ANEXO P: Protección de la información: Sistema Instrumentado de Seguridad

El Anexo P consta de 2 documentos:

• Clasificación Sistemas de Automatización.

• Instrucciones de trabajo Back Up

El primero (Clasificación Sistemas de Automatización.XXXXXXXX) analiza los diferentes sistemas de automatización que contienen información de configuración o proceso susceptible de dañarse y que requiere un procedimiento para asegurar esa información. Definiendo para cada sistema:

− Responsabilidades.

− Enumeración de los sistemas instalados y susceptibles para mantener la información.

− Criticidad para el negocio: impacto que tiene para el negocio la pérdida de información.

− Confidencialidad del sistema.

− Política de copia de seguridad, dependiendo de la criticidad y confidencialidad del sistema.

− Política de accesibilidad a los sistemas.

A partir de este documento se elabora el segundo documento (Instrucciones de trabajo Back up) donde se definen las instrucciones básicas para la realización y custodia de las copias de seguridad del Sistema Instrumentado de Seguridad .

Asimismo se anexa la política de acceso al Sistema Instrumentado de Seguridad al que se hace referencia en los documentos arriba mencionados

.

Anexos Anexo P: Protección de la información SIS

259


sistemas instrumentados de seguridadsauron.etse.urv.es/public/propostes/pub/pdf/1232pub.pdfÍndice...

Documents