sistemas instrumentados de seguridad 2

7/28/2019 Sistemas Instrumentados de Seguridad 2

http://slidepdf.com/reader/full/sistemas-instrumentados-de-seguridad-2 1/69

LEGISLACIÓN: Son leyes dictadas por funcionarios electos, ya sea a nivel nacional,estadal, municipal, etc.

REGULACIÓN: Son normas que tienen el peso de la ley. En USA existen variosorganismos encargados de la regulación asociada a temas de seguridad, entre ellosla OSHA (“Occupational Safety and Health Act”), la EPA (EnvironmentalProtection Act).

ESTÁNDARES: Consenso de un grupo de industrias con respecto a los nivelesmínimos de ingeniería aceptable.

PRÁCTICAS RECOMENDADAS: Recomendaciones de ingeniería de un grupo deindustrias.

NORMAS Y ESTÁNDARES



Norma IEC 61508 – Functional Safety of Electrical/Electronic/ProgrammableElectronic Safety Related Systems. Aplica en general a todo el ciclo de vida delos sistemas instrumentados de seguridad

I&

C –

Cu

rsoHIMA

R.1 -

Parte

2 -

Servicio

s

Educ

ativo

s

Ho ja

3



Norma IEC 61511 – Functional Safety: Safety Instrumented Systems for the ProcessIndustry Sector. Aplica a todo el ciclo de vida de los sistemas instrumentados deseguridad aplicados al sector de procesos (Ej. Petróleo y gas, petroquímica, etc).



Norma ANSI/ISA S84.01 – Application of Safety Instrumented Systems for theProcess Industries. Aplica fundamentalmente a la etapa de realización del ciclode vida de seguridad aplicados al sector de procesos (De obligatoriocumplimiento en USA).



ANÁLISIS DE PELIGROS Y RIESGOS:En general los peligros en los procesos y suequipo de control asociado deben ser identificados a través de una de lasmetodologías de análisis de peligros. El objetivo del análisis es identificar si serequiere agregar seguridad funcional para asegurar una adecuada protección

contra cada uno de los peligros significativos. Si se requiere seguridadfuncional, entonces se debe proceder al diseño de los mecanismos de seguridadde acuerdo a lo indicado en las normas IEC-61508, IEC-61511 y ANSI/ISAS84.01.



De acuerdo a las estadísticas realizadas por la HSE (Health & SafetyExecutive)(www.hse.gov.uk) en 1987 sobre 34 accidentes, se determinó que la mayoríade los accidentes se debieron a problemas durante la especificación de los sistemas. Deallí la importancia del análisis de peligros y la especificación adecuada del SIS.



¿ Cómo se identifican las Funciones Instrumentadas de Seguridad ? POR EXPERIENCIA: En algunos casos debido a experiencias previas en procesos similares y de

acuerdo a normativas de la empresa, se determinan ciertas funciones. Típicamente estas funcionesse denotan en los diagramas de instrumentación y tuberías (P&ID).

POR COMPLIMIENTO POR CIERTAS NORMAS: Por ejemplo normas NFPA para sistemas de protección

de hornos y calderas. En este caso, algunas de las funciones de protección ya están definidas en lanorma. MEDIANTE METODOS DE ANÁLISIS DE PELIGROS: Estos son procedimientos sistemáticos en el cual

interviene un grupo multidisciplinario para identificar peligros y establecer medidas de seguridad, lascuales pueden ser mediante funciones instrumentadas y otros medios. Los métodos comúnmenteusados son:

LISTA DE VERIFICACIÓN (“Check list”): Es muy simple pero poco riguroso, se emplea

fundamentalmente para equipos simples (ej. Bombas). ANÁLISIS ¿QUÉ PASA SI?. (“What if”): Es muy similar a la lista de verificación y se utiliza para elmismo tipo de aplicación.

ANÁLISIS DE PELIGROS Y OPERABILIDAD (“HAZOP”): Es un método muy formal que se utiliza paraprocesos nuevos o únicos, orientado fundamentalmente a la industria de procesos.

ANÁLISIS DE MODOS DE FALLAS Y EFECTOS (“FMEA”): Se utiliza para procesos de índole mecánicadonde existe gran interacción entre los componentes (ej. Tornos, presas, grúas)

ÁRBOLES DE FALLA (“Fault Tree”): Es una metodología deductiva, la cual parte del evento impactante(evento tope) y se desarrolla hacia abajo buscando las causas. Permite el análisis cualitativo ycuantitativo.



¿ Cómo se debe especificar una función Instrumentada de seguridad ?De una función instrumentada de seguridad se debe especificar:◦ • Qué medir (sensores).◦ • Qué hacer (funcionalidad).◦ • Cuándo hacerlo (lógica).◦ • Qué tan rápido (velocidad de repuesta).

Ejemplo: Medir presión en el separador, cerrar válvula de admisión y abrir válvula deventeo en caso de alta presión, emitir alarma a la estación de operación.



En el HAZOP, el proceso es separado en secciones o nodos. Para cada nodo seselecciona un juego de parámetros, y se trata de determinar si su desviación puedegenerar un peligro creíble. De existir esta posibilidad se establecen medidas deseguridad, entre las cuales puede haber funciones instrumentadas.

EJEMPLO: Considere el proceso de la figura el cual consiste en un recipiente presurizado,con su instrumentación asociada, el cual contiene un líquido inflamable. En el procesoexiste un sistema de control básico (BPCS) el cual incluye un transmisor de nivel, elcontrolador y la válvula de admisión de fluido para control del nivel (LCV). Losmecanismos de protección disponibles son: a) Un transmisor de presión que genere una

alarma para que el operador corte el suministro de fluido, b) Una capa de protección noinstrumentada que libere la alta presión hacia “KO drum”, el cual captura los líquidos ylibera los gases hacia un quemador (“Flare”).



¿ Se requiere una función instrumentada deseguridad ?

¿ Cuál es el peligro potencial o eventoimpactante ?

¿ Es el riesgo actual tolerable ?

EJEMPLO...



EJEMPLO...

¿ Cuál es el peligro potencial ?: Emisión de líquidos inflamables con laconsecuente probabilidad de explosión y daños a personas, al ambiente ymateriales.

¿ Es el riesgo actual tolerable ?: Para contestar a esta pregunta primero sedebe establecer el riesgo meta, el cual va a depender de las políticas de

seguridad de la compañía, leyes locales, leyes internacionales, etc. El riesgometa se establece en términos de la frecuencia del evento impactante poraño, luego se debe desarrollar un análisis cualitativo, semicualitativo ocuantitativo, para determinar se el riesgo actual es tolerable, y si no lo es,implantar medidas externas de reducción de riesgo que pudieran ser

Funciones instrumentadas de seguridad. Siendo este el caso se debedeterminar el grado de reducción de riesgo que debe brindar la función, esdecir su correspondiente SIL.



Personal recomendado para realizar el análisis de peligros y determinación del SIL decada SIF.

◦ Especialista en procesos

◦ Ingeniero de control de procesos

◦ Gerente o supervisor de operaciones

◦ Especialista en seguridad

◦ Operador con experiencia en el proceso objeto del estudio



MÉTODO CUANTITATIVO. 1. Riesgo meta: Existen varios métodos para determinar el riesgo meta en forma cuantitativa. La

determinación del riesgo meta está fuera del alcance de este curso (verpaper:Techniques for Assigning A Target Safety Integrity Level, por Angela E. Summers ), sinembargo, típicamente se asigna una frecuencia del evento impactante, en función de laseveridad de las consecuencias. Supongamos que la política de la empresa es, que paraeventos que pueden causar daños materiales y muerte a personal de la empresa lafrecuencia máxima tolerable es de un evento cada 10.000 años, es decir, 10-4 eventos

por año (este es entonces el riego meta del ejemplo).

EJEMPLO...

2. Evento impactante: Emisión de líquidos y gases inflamables 3. Estimación de frecuencias: Se debe estimar la frecuencia del evento iniciador

sin las capas de protección, pero con el sistemabásico de control. El método típico para laestimación de frecuencias es el árbol de fallas.



MÉTODO CUANTITATIVO...EJEMPLO...(Estimación de la frecuencia del evento iniciador)



MÉTODO CUANTITATIVO...EJEMPLO...(Estimación de la frecuencia del evento impactante)



MÉTODO CUANTITATIVO...EJEMPLO...(Definición de la función instrumentada de seguridad y su SIL)



MÉTODO CUALITATIVO (Matriz de riesgo) ... En este caso para la estimación de las frecuencias del evento impactante se establecen

tres categorías: Baja, Media y Alta. La selección de cuál de las categorías debe ser sadase debe hacer en base a la historia o registro en experiencias similares si estos datos no

están disponibles, entonces se puede usar la siguiente tabla de la norma IEC- 61511-3.



MÉTODO CUALITATIVO (Matriz de riesgo) ... Para estimar el riesgo, se debe estimar también la severidad del evento impactante

además de la frecuencia de ocurrencia. Al igual que el caso de la frecuencia, laseveridad se clasifica en tres categorías: Extenso, Moderado y Menor, de acuerdo a lasiguiente tabla.



MÉTODO CUALITATIVO (Matriz de riesgo) (ISA S84.01 e IEC-61511) ... EJEMPLO...(Estimación del SIL de la SIF)



MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) (IEC-61511) ... De acuerdo a la norma IEC-61511, el riesgo en la industria de procesos es una función de los

siguientes parámetros: Las consecuencias de la situación peligrosa. (C). Las consecuencias se evalúan enfunción del numero

de fatalidades o lesiones serias que pueden ocurrir como consecuencia del peligro o eventoimpactante, y se debe considerar la cantidad de personas expuestas cuando la zona está ocupada.

La probabilidad de que el lugar expuesto esté ocupado (porcentaje de ocupación). (F). La ocupaciónse estima calculando la fracción de tiempo que el área está ocupada.

La probabilidad de evitar la situación peligrosa. (P). Depende de la posibilidad que tengan las

personas expuestas al peligro de ser alertadas de la situación y de poder escapar de la misma, encaso de falla de la SIF a ser implantada.

La tasa de demanda o frecuencia de ocurrencia de la situación peligrosa en ausencia de la SIF cuyoSIL se desea estimar. (W)



MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) Ejemplo de calibración del gráfico ...



MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)... El método LOPA consiste en la generación de una tabla (ver tabla 6) con cada uno de los

eventos impactantes (1) identificados en el HAZOP. Para cada uno de estos eventos sedebe establecer su severidad (2), la causa iniciadora (3), la tasa de ocurrencia del

evento iniciador (4), las capas de protección existente y su probabilidad de falla (5), parafinalmente determinar la frecuencia del evento impactante sin SIS (6). Si esta frecuenciano satisface el riesgo meta, entonces se debe implantar una SIF con el nivel SIL (7)necesario para llevar la frecuencia del evento impactante al nivel tolerable (8) (Riesgometa).



MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...1. Evento impactante: En la columna 1 de la tabla se debe colocar cada uno de

los eventos impactantes identificados en el HAZOP.

2. Severidad: Existen tres niveles de severidad de acuerdo a la siguiente tabla:



MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...3. Evento iniciador o causa: Todos los iniciadores estadísticamente independientesdel evento impactante se deben listar en la columna 3.

4. Frecuencia del iniciador: En la columna 4 se debe indicar la frecuencia en eventospor año del iniciador o causa. En algunos casos esto se puede hacer mediante eldesarrollo de un árbol de fallas (ver método cuantitativo), o en base a estadísticas oexperiencia previa. También se puede usar como referencia la tabla #3 tomada de lanorma IEC-61511.5. Probabilidad de falla bajo demanda de cada una de las IPL: Se debe indicar paracada una de las capas de protección independientes el grado de protección,

expresado en la probabilidad de falla bajo demanda (PFD) de la misma. Los criteriosque debe cumplir una IPL se encuentran definidos en la sección de conceptosbásicos. En la tabla LOPA se listan las IPL típicas, entre ellas elementos incluidos enel diseño del proceso, como por ejemplo una chaqueta de protección a un recipiente.6. Capas de mitigación (Incluidas en las IPL): Las capas de mitigación sontípicamente mecánicas, estructurales o procedimentales. Si existen se deben listar, eindicar su probabilidad de falla bajo demanda. Algunas de las capa típicas demitigación son:



MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)... VALVULAS DE ALIVIO DIQUES ZONAS DE ACCESO RESTRINGIDO

SISTEMAS DE DILUVIO PROCEDIMIENTOS DE EVACUACIÓN

7. Frecuencia intermedia: Se refiere a la frecuencia de ocurrencia por año del evento sinSIS, lo cual se calcula multiplicando la frecuencia de evento iniciador, por cada una delas probabilidades de falla de las capas de protección independientes. Si la frecuenciaintermedia es mayor que la requerida, entonces se debe estudiar la posibilidad demejorar el diseño, y si no es posible, entonces se debe agregar una función

instrumentada de seguridad con la probabilidad de falla bajo demanda adecuada paradisminuir el riesgo a lo niveles tolerables. 8. Nivel de integridad (SIL) de la SIF: Si se determinó en el paso anterior la necesidad de

una SIF, entonces si nivel SIL se determina dividiendo el riesgo meta por la frecuenciaintermedia (sin SIS).

9. Frecuencia del evento mitigado (con SIS): Se calcula multiplicando la frecuenciaintermedia por la probabilidad de falla bajo demanda del SIS, estimada en el pasoanterior.



10. Riesgo Total: En el punto 9 se determina el SIL de cada una de las SIF, sinembargo, aquí no termina el análisis LOPA. Se debe calcular el riesgo total,para lo cual hay que sumar todas la frecuencias de eventos serios o extensos

que represente el mismo peligro, por ejemplo fuego o emisión de gasestóxicos. Para determinar el riesgo de muerte o fatalidades total, por causa delmismo peligro, se debe utilizar fórmulas como la siguiente:◦ Riesgo de fatalidad debido a [ej. Fuego] = (frecuencia de ocurrencia total

de emisión de material inflamable) x (probabilidad de personas en el área

(ocupación)) x (probabilidad de muerte en caso de fuego) Si el resultado obtenido cumple con los criterios corporativos, y las leyes y

regulaciones al respecto, entonces el análisis LOPA está concluido, de locontrario se debe revisar dónde se deben hacer ajustes para minimizar elriesgo total.



Efectos del SIS



PREGUNTAS FRECUENTES

• ¿ Puede ser el BPCS considerado una IPL ?:

Para que el BPCS pueda ser considerado una IPL se deben cumplir las premisasindicadas en la sección de definición de IPL. En algunos casos la falla del BPCS puedegenerar una situación de peligro, sin embargo, el mismo BPCS puede alertar al operadorsobre cierta condición de riesgo. Si por ejemplo la falla del BPCS genera una alta presiónen un recipiente, pero en el mismo recipiente existe un interruptor de alta presiónconectado al BPCS a través de dispositivos independientes (ej. Controladores diferentes)a aquellos que originan la falla, pudiendo alertar al operador sobre la situación, entonces

el BPCS puede ser considerado como ambos, iniciador y capa de protecciónindependiente. En todo caso, no se debe tomar la probabilidad de falla bajo demandadel BPCS menor a 0,1, a menos que dicho BPCS haya sido diseñado de acuerdo a lasnormas IEC-61508, e IEC-61511.

¿ Cuál es el criterio para usar uno u otro método de análisis y determinación del SIL ?

El método a seleccionar va a depender de la complejidad de los escenarios, de laexperiencia existente en procesos similares y en condiciones similares y de la severidadde las consecuencias.



PREGUNTAS FRECUENTES... En términos generales para aplicaciones simples con consecuencias de poca

severidad se pueden utilizar métodos cualitativos, en la medida que aumenta la

complejidad y la severidad se deben utilizar métodos más rigurosos. Esto se ilustraen la siguiente figura, tomada del Libro: “Layer of Protection Analysis” publicado porla AICHE – CCPS.



¿ Donde se puede conseguir información con respecto a las tasas y modos de falla deequipos ?Existen en el mercado diversas bases de datos de fallas de equipos. A continuación

se mencionan algunas de las mas comunmente usadas en la industria de petróleo ygas:◦ """"OREDA: Offshore Reliability Data Handbook," 3rd Edition, Det Norske Veritas Industri," 3rd Edition, Det Norske Veritas Industri," 3rd Edition, Det Norske Veritas Industri," 3rd Edition, Det Norske Veritas Industri

Norge as DNV Technica, Norway, 2002.Norge as DNV Technica, Norway, 2002.Norge as DNV Technica, Norway, 2002.Norge as DNV Technica, Norway, 2002.

◦ """"Guidelines for Process Equipment Reliability Data," Center for Chemical Process," Center for Chemical Process," Center for Chemical Process," Center for Chemical ProcessSafety of the American Institute of Chemical Engineers, NY, NY, 1989.Safety of the American Institute of Chemical Engineers, NY, NY, 1989.Safety of the American Institute of Chemical Engineers, NY, NY, 1989.Safety of the American Institute of Chemical Engineers, NY, NY, 1989.

◦ • """"Non-Electronic Parts Reliability Data," Reliability Analysis Center, Rome, NY,," Reliability Analysis Center, Rome, NY,," Reliability Analysis Center, Rome, NY,," Reliability Analysis Center, Rome, NY,

◦ 1995.1995.1995.1995.

Otras fuentes de datos se pueden encontrar en la página web de Exida.(www.exida.com). En ocasiones, se toma en cuenta las tasas de fallas suministradaspor los fabricantes de los equipos, o en las bases de datos coorporativas de cada

usuario.



Una vez que se determinan las funciones instrumentadas de seguridad y sucorrespondiente SIL, se debe proceder a la emisión de las especificaciones de losrequerimientos de seguridad del SIS (SRS de las siglas en inglés).Las SRS deben contener dos tipos de requerimientos: Funcionales, y de Integridad.

REQUERIMIENTOS FUNCIONALES.

◦ Definición del estado seguro.◦ Definición de las entradas al sistema sus puntos de disparo.◦ Rango de operación normal de las variables de proceso involucradas.◦ Salidas del sistema (SIS) y sus acciones.◦ Relación entre las entradas y salidas del sistema.◦ Selección de energizar o des-energizar para disparar (típicamente los sistemas◦ ESD son des-energizar para disparar, mientras que los sistema de Fuego y Gas◦ son energizar para disparar.◦ Consideraciones para hacer parada manual.◦ Acciones en caso de pérdida de energía.◦

Tiempo de respuesta para llevar al proceso a su condición segura.◦ Respuesta ante fallas detectadas por el sistema.◦ Requerimientos de la “Interface” del operador.◦ Funciones de Reposición (“Reset”).◦ Consideraciones para inhibiciones.



REQUERIMIENTOS DE INTEGRIDAD. SIL requerido para cada función instrumentada de seguridad. Requerimientos de diagnóstico para lograr el SIL requerido. El grado de seguridad

que puede brindar un SIS depende de la capacidad de detectar fallas inseguras en elmismo. Inclusive en sistemas de alta integridad, no todas las fallas pueden serdetectadas en forma automática, razón por la cual se deben realizar pruebasmanuales con cierta periodicidad, de forma de garantizar el SIL.

Requerimientos de mantenimiento y pruebas para lograr el SIL requerido. Sobre todo

el mantenimiento de los elementos del SIS suceptibles de fallas en modo comúndebe ser sometido a mantenimiento riguroso. Tal es el caso de las tomas a procesosuceptibles de ser taponadas.

Requerimientos de tasa de fallas seguras (“Spurious trip”). En muchos casos seagrega redundancia para hacer diagnósticos por comparación. Esto aumenta el grado

de protección brindado por el SIS (al diminuir el PDF), pero al aumentar el númerode componentes aumenta la tasa de disparo segura. En la mayoría de los procesos,el arranque del mismo es una de las etapas de mayor peligro, razón por la cual sedebe minimizar la tasa de fallas seguras que obliguen un arranque del proceso.



TECNOLOGIAS A NIVEL DE LOGIC SOLVER



TECNOLOGÍAS A NIVEL DE “LOGIC SOLVER” (E/E/PE)...LIMITACIONES DE LA ESTRUCTURA DE UN SIS CON RESPECTO AL MÁXIMO

SIL... UN SUBSISTEMA ES TIPO “A” CUANDO:

◦ El modo de falla de todos sus componentes está bien definido, y Elcomportamiento del sistema ante fallas está bien definido, y Existensuficientes datos de fallas, de experiencia en campo, que demuestran latasa de falla declarada por el fabricante.

UN SUBSISTEMA ES TIPO “B” CUANDO:◦ El modo de falla de al menos uno de sus componentes no está bien

definido, ó El comportamiento del sistema ante ciertas fallas no está biendefinido, ó No hay suficientes datos de falla recopilados de experiencia encampo que demuestren el cumplimiento de la tasa de fallas.



MÉTODO POR ECUACIONES SIMPLIFICADAS...Supuestos

No contempla fallas dependientes del tiempo, o fallas condicionadas. Se asume que la tasa de falla (l) multiplicado por el intervalo de prueba (TI) es mucho

menor que 0,1 (esto es válido para la mayoría de los casos)(l.TI << 0,1) Se han despreciado las fallas sistemáticas, las cuales se deben a: Errores en el diseño,

errores en el software, errores en modificaciones, errores de interacción con el usuario,errores en la implantación del hardware. Generalmente estos errores se minimizan

mediante pruebas en fábrica y pruebas en sitio, así como mediante la aplicaciones deprocedimientos y control de calidad y manejo de cambios.



MÉTODO POR ECUACIONES SIMPLIFICADAS...



MÉTODO POR ECUACIONES SIMPLIFICADAS...Procedimiento

1. Determinar la arquitectura por separado de cada uno de los subsistemas(sensores, logic solver, elementos finales, sistema de soporte).

2. Recopilar los datos de las tasas de falla seguras, inseguras, detectadas yno detectadas de cada componente de los subsistemas. Algunas fuentes dedatos son: Especificaciones de los fabricantes, base de datos OREDA, RAC,

CCPS. 3. Revisar las fuentes de falla en modo común para las configuraciones

redundantes, y estimar su valor (b). Típicamente el factor beta está entre 0y 20%. El PDF es muy sensible al factor beta, por lo tanto se debe tenercuidado al momento de su estimación, se puede usar un valor conservador

de 10%, el cual es de por sí bastante alto.



4. Estimar el MTTR, es cual incluye el tiempo transcurrido desde ocurre la falla,

hasta que el equipo se vuelve a poner en operación. Se debe considerar eltiempo de identificación de la falla, el tiempo de transporte del personal y losrepuestos hasta el sitio, el tiempo de reemplazo del componente dañado y eltiempo de puesta en operación. Típicamente este tiempo se estima entre 4 y 8horas dependiendo del tipo de componente.

5. Asignar un tiempo de pruebas manuales. Recuerde que la probabilidad defallas es una función del tiempo, que el tiempo de entre pruebas es mayor,mayor es la probabilidad de fallas, si por el contrario el tiempo es muypequeño, representa muchos costos de operación y coloca un riesgo adicionalpor errores humanos al poner de nuevo en servicio el componente a probar.

Un valor típico es considerar un tiempo de 1 año, sin embargo, en el caso deválvulas que tengan capacidad de diagnóstico, puede ser necesario llevar estetiempo a tres meses o menos para garantizar el SIL.


Procedimiento



6. Aplicar las ecuaciones a cada uno de los sub-sistemas de acuerdo a la arquitectura.Los valores de MTTR, beta, e intervalos de pruebas, pueden ser diferentes para cada

sub-sistema. En todo caso se debe dejar bien documentados los valores asumidos. 7. Determinar el PDF promedio de la función instrumentada de seguridad, sumando cada

uno de los PDF obtenidos anteriormente y verificar si este valor cae dentro del rango delSIL requerido. De no ser así, entonces se debe ajustar los tiempos de pruebas, o hacermodificaciones a la arquitectura, o usar componentes con tasas de fallos menores.

Generalmente el mayor peso del PDF, recae en los elementos de acción final.


Procedimiento



8. Además de la probabilidad de falla bajo demanda, es de interés calcular la tasa de

disparo segura del sistema, ya que esto ocasiona paradas indeseables de planta porcausa del sistema de protección. Se debe entonces calcular la tasa de disparo segura(STR). A continuación se muestran las ecuaciones involucradas en dicho cálculo.


Procedimiento




Procedimiento




Ejemplo (ISA TR84)



La norma IEC-61508 establece las condiciones para que un dispositivoeléctrico/electrónico/electrónico programable, pueda ser catalogado comode seguridad. Se establecen dos tipos de criterios, los cuales deben serdemostrados y documentados. En general los criterios son:

◦ Certificados por un tercero debidamente capacitado. Esto es llevado acabo normalmente por organizaciones como TÜV en Europa y otrospaíses y “Factory Mutual” en Estados Unidos.

◦ La mayoría de los fabricantes de PLC de seguridad hoy en día

tiene certificados emitidos por TÜV. Este certificado sóloacredita al equipo para ser utilizado en aplicaciones hastadeterminado nivel SIL y bajo las condiciones indicadas en elmanual de seguridad del equipo (“Safety Manual”).



◦ El certificado va acompañado de un reporte que muestra las

limitaciones y alcance del certificado. Debe recordarse que se debecumplir con todo el ciclo de vida de seguridad para mantener el riesgo anivel tolerable en cierta instalación.

◦ El otro criterio es el denominado “Probado en uso” (“Proven in Use”), elcual típicamente se aplica para dispositivos simples, tales comotransmisores o válvulas y requiere que se muestre evidencia deldesempeño del equipo durante cierto tiempo de vida (usualmente masde 10 años).

sistemas instrumentados de seguridad 2

Documents