� Determinación de la necesidad de un Sistema Instrumentado de Seguridad (SIS), y determinación de la arquitectura más adecuada para cierta aplicación.

� Dar respuesta a las siguientes preguntas:

◦ ¿Qué tan segura debe ser mi planta?

◦ ¿Cómo identificar riesgos en mi planta?

◦ ¿Cómo determinar la necesidad de un Sistema Instrumentado de Seguridad (SIS)?

◦ ¿Cuál debe ser el nivel de integridad de seguridad (SIL) del Sistema Instrumentado de Seguridad.

◦ ¿Cuál es la arquitectura más adecuada de mi SIS?.

◦ ¿Cuáles son las normas aplicables a la implantación de Sistemas Instrumentados de Seguridad?.

PARTE I.

JUSTIFICACIÓN DEL USO DE SISTEMAS DE ALTA INTEGRIDAD (PES)PARA APLICACIONES DE PARADA DE EMERGENCIA (ESD) Y OTRAS APLICACIONES DE SEGURIDAD

� 1.1. CONCEPTOS BÁSICOS

◦ Definición de términos y conceptos básicos

� 1.2. REVISIÓN DE ESTÁNDARES Y NORMAS

◦ Norma IEC-61508◦ Norma IEC-61511◦ Norma ANSI/ISA S84.01

� 1.3. ANÁLISIS DE PELIGROS Y RIESGOS

◦ HAZOP◦ ¿Qué pasa si?◦ Árboles de falla◦ FMEA

� 1.4. CALCULOS DEL SIL

◦ Matriz de riesgos◦ Gráfico de riesgos◦ Árboles de falla

� 1.5. DESCRIPCIÓN DE TECNOLOGÍAS EXISTENTES

◦ Soluciones basadas en relés◦ Sistemas basados en votación◦ Sistemas basados en diagnósticos

� 1.6. DETERMINACIÓN DEL SIL PARA VARIAS

� ARQUITECTURAS Y TECNOLOGÍAS

◦ Verificación del SIL y de la tasa de disparo segura para varias arquitecturas típicas◦ Selección de la tecnología y arquitectura mas adecuada para cierta aplicación

� 1.7. CERTIFICACIONES

◦ Certificaciones para sistemas de seguridad.

PARTE II.

CRITERIOS PARA LA CONFIGURACIÓN Y PROGRAMACIÓN DE SISTEMAS DE PARADA DE EMERGENCIA.

� 2.1. Criterios Básicos

◦ Información necesaria para realizar la configuración y programación.◦ Programación con lógica negada.◦ Inhibiciones.◦ Arranque seguro.◦ Integración con otros sistemas.

� 2.2. Pasos para Generar un Programa Seguro

◦ Información necesaria.◦ Distribución del I/O.◦ Conceptualización.◦ Bases de Datos.◦ Programación.◦ Pruebas (Debugging).

PARTE III

Sistemas Hima – Hardware .

� 3.1. Descripción de la tecnología� 3.2. Modelos H41q.� 3.3. Modelos H51q� 3.4. Modelos A1

� 3.5. Integración con otros sistemasPARTE IV

ELOP II – Software.

� 4.1. Introducción al ELOP II� 4.2. Descripción de la herramienta.

� SEGURIDAD: De acuerdo a la norma IEC-61508, seguridad se define como “Libre deRiesgo Inaceptable”.

� PELIGRO (“Hazard”): Es una fuente potencial de daño a las personas, ambiente, opropiedad. A diferencia del riesgo, el peligro no indica severidad ni probabilidad deocurrencia.

� RIESGO: Es una combinación de la probabilidad de ocurrencia de un daño y de suseveridad.

Riesgo = Probabilidad * Severidad

De acuerdo a esta definición el riesgo se puede disminuir ya sea minimizando laprobabilidad de ocurrencia del evento que genera el daño (prevención), minimizandola severidad del mismo (mitigación), o disminuyendo ambas.!!! Recuerde el riesgo cero no existe !!!

� RIESGO TOLERABLE: Riesgo aceptado basado en los valores de la sociedad actual.Generalmente se mide en términos de fatalidades por año o de eventos que puedencausar daño por año. Con la implantación de medidas de seguridad en una planta, sepretende llevar el riesgo a niveles tolerables (Riesgo Meta).

� ALARP (“As Low As Reasonably Practicable”):En general el riesgo puede caer dentro detres categorías: a) Riesgo intolerable, el cual no se puede justificar excepto en casosextraordinarios, b) Riesgo despreciable, el cual es aceptado si se le compara con elriesgo que se experimenta día a día. C) El riesgo es tolerable cuando se han tomadotodas las medidas necesarias para reducirlo a un valor por debajo del cual seríaeconómicamente no viable (esta es justamente la región ALARP).

� SEGURIDAD FUNCIONAL: Es aquella parte de la seguridad en general ,que dependedel correcto funcionamientos de equipos eléctrico/electrónicos o de electrónicaprogramable (E/E/PE), de otras tecnologías o de instalaciones de reducción de riesgoexternas. En general la seguridad funcional puede ser interpretada, como la adición dealgún elemento externo al proceso o equipo bajo control que no sea parte inherente delpropio proceso. Por ejemplo, considere un detector de alto nivel en un recipiente queenvía una señal de cierre de la válvula de admisión de fluido a la entrada, para evitar underramamiento de líquido. Esto sería considerado parte de la seguridad funcional, sinembargo, si se diseña el recipiente con un vertedero, que lleve el exceso de fluido a undesagüe, se está igualmente suministrando seguridad, pero en este caso no seríaseguridad funcional.

Seguridad Funcional Seguridad Inherente

� RIESGO META: Es el valor al cual se desea minimizar un riesgo, considerando que el mismo cae dentro de la región ALARP o riesgo aceptable.

� CONFIABILIDAD: es la probabilidad de funcionamiento exitoso durante un intervalo detiempo. Se entiende por funcionamiento exitoso, el que un sistema ejecute lasfunciones para las cuales fue diseñado, cuando opera dentro de los límites pre-establecidos por su fabricante. Usualmente, se mide indicando la tasa de fallas que esel número de fallas esperado en un período de tiempo dado.

� La tasa de fallas varía con la "edad" de los equipos o componentes. Una curvacaracterística típica de tasa de fallas en el tiempo se muestra en la próxima figura,donde se definen claramente tres zonas.

� La tasa de fallas es alta al principio de la vida del equipo o del sistema, esto es llamado“Mortalidad Prematura”, y se minimiza sometiendo al equipos a pruebas en la mismafábrica, luego viene un periodo donde la tasa de fallas permanece relativamenteconstante, el cual se conoce como vida útil, luego al ir aumentando el desgaste, la tasade fallas se incrementa drásticamente. A esta gráfica se le conoce con el nombre de“Curva de la Bañera”.

MortalidadPrematura

Desgaste

La expresión matemática de la confiabilidad es:

donde λ = tasa de fallat = tiempo.

Si se cumplen las siguientes condiciones:• El equipo opera en condiciones dentro de las especificaciones.• El equipo ha pasado las pruebas de "mortalidad prematura".• Las fallas ocurren aleatoriamente.

� DESCONFIABILIDAD (F): Es la probabilidad de falla durante un intervalo de tiempo. La desconfiabilidad (F) es el complemento de la confiabilidad. Por lo tanto: F = 1 – R.

Si λt < 0,1, entonces

� DISPONIBILIDAD (A): es la probabilidad de funcionamiento exitoso en un momento en el tiempo. Si un equipo se encuentra funcionando en un momento determinado, se dice que el equipo está disponible.

� INDISPONIBILIDAD (U): es la probabilidad de falla en un momento determinado. Es el complemento de la disponibilidad. A = 1 – U.

� TASA DE FALLAS (λ): Es el número de fallas por unidad de tiempo.� TIEMPO MEDIO PARA FALLAR (MTTF): Es el intervalo de tiempo promedio de

funcionamiento exitoso de un sistema.

Confiabilidad es una probabilidad y MTTF es un promedio

� TIEMPO MEDIO PARA REPARAR (MTTR): Es el tiempo promedio que se toma para reparar un sistema. “Aplica sólo para sistemas reparables”.

� TIEMPO MEDIO ENTRE FALLAS (MTBF): Es el tiempo promedio de un ciclo de falla/reparación de un sistema. “Aplica sólo para sistemas reparables”.

Ejemplo 1: Supongamos tenemos un equipo de MTTF = 1000h¿Cuál es la probabilidad de que este equipo opere sin fallar en un período de tiempo de 500h ? (t < MTTF) (En otras palabras, ¿Cuál es su confiabilidad en 500h ?.

¿en 1000h? (t = MTTF)

¿y en 1500h? (t > MTTF)

� Ejemplo 2: Es posible encontrar en las especificaciones, equipos que prometen 100% de confiabilidad?. Supongamos que posee 99,999%. Haciendo los cálculos descritos anteriormente en forma inversa encontraremos lo siguiente:

� ¿Qué característica debe tener un equipo para trabajar durante 1 mes con probabilidad de 99.999% de no fallar ?

Ejemplo 3: se tiene un equipo con MTTF = 8760 Hrs (un año) ¿Cuál debe ser el MTTR para obtener una disponibilidad de: 1. D1 = 99 %, 2. D2 = 99,9 % y 3. D3 = 99,999 % ?.

1. Con D1 = 99% se tiene que MTTR1 = 87,6 hrsMTTR1 = 3.65 días.

2. Con D2 = 99,9%, se tiene que MTTR2 = 8,76 hrs

3. Con D3 = 99,999% se tiene que MTTR3 = 0,0876hrsMTTR2 = 5.25 minutos.

Ejemplo 4: en un controlador lógico programable el MTTF es 2,5 años, lo que equivale a 21900 hrs. y el MTTR es 4 hrs.

MTTF = 21900 hrs.MTTR = 4hrs.

Según la ecuación:

� FALLA: Es incapacidad de realizar la función requerida. Desde el punto de vista de seguridad las fallas se catalogan en seguras e inseguras.

� FALLA SEGURA: Es un modo de falla que no tiene el potencial de poner el proceso que se está protegiendo en una situación de peligro. Por ejemplo, si una válvula de bloqueo presenta una falla que la hace que se cierre, entonces está fallando en un modo seguro. Se define entonces una tasa de fallas segura, que es el número de fallas seguras por unidad de tiempo (ls).

� FALLA INSEGURA: Es un modo de falla que tiene el potencial de poner el proceso que se está protegiendo en una situación de peligro o de falla bajo demanda. Por ejemplo, si una válvula de bloqueo presenta una falla que la evita que se cierre, entonces cuando se requiera que la válvula se cierre, se quedará abierta pudiendo generar una condición insegura. Se define entonces una tasa de fallas insegura, que es el número de fallas seguras por unidad de tiempo (lD).

� FALLAS DETECTADAS (Reveladas) (“Overt Faults”): Fallas que al ocurrir revelan su presencia, o que pueden ser detectadas mediante diagnósticos, comparación u otros mecanismos. Típicamente los sistemas de seguridad se diseñan para que estén en capacidad de detectar la mayor cantidad de fallas posibles. Cuando una falla es detectada, ya sea que la misma sea segura o insegura típicamente se lleva al proceso a una condición segura de modo que la misma no degenere en una situación de peligro.

� FALLAS NO DETECTADAS (Ocultas) (“Covert Faults”): Fallas que no revelan su presencia o permanecen en estado latente. Típicamente las fallas peligrosas no detectadas son las que comprometen la seguridad del proceso, al manifestarse sólo cuando se demanda una acción del sistema de seguridad.

� FALLAS EN MODO COMÚN: Es un evento que ocasiona una falla al mismo tiempo en dos o mas elementos redundantes de un sistema. Ejemplos de falla en modo común son:◦ Sensores mal calibrados.◦ Obstrucción de la toma del proceso, cuando ambos instrumentos usan la◦ Misma toma.◦ Inhibición incorrecta.◦ Errores de software que afectan a los CPU al mismo tiempo.

� De modo de analizar el efecto de las fallas en modo común, se define el factor b, el cual indica la fracción de la tasa de fallas a la cual dos o mas componentes fallan por la misma causa.

Para efectos del análisis de confiabilidad de sistema redundantes, se define entonces una tasa de fallas normal (λλλλn), la cual actúa sobre cada componente en forma individual, y la tasa de fallas común (λλλλ c), la cual actúan en ambos componentes al mismo tiempo..

� TOLERANCIA A FALLAS: Es la habilidad de una unidad funcional de continuar realizando la función requerida en presencia de fallas o errores. La tolerancia a fallas se logra añadiendo redundancia a componentes.

� SIL (“Safety Integrity Level”): Es un valor discreto (de 4 posibles de acuerdo a la IEC-61508 y 3 de acuerdo a la ANSI/ISA S84.01) que indica el grado de disminución de riesgo que está en capacidad de brindar las funciones de seguridad asignadas a un Sistema Instrumentado de Seguridad (SIS). El nivel 4 representa el mayor nivel de integridad, y 1 el de menor. El SIL está relacionado con la Probabilidad de Falla bajo demanda del sistema, de acuerdo a la siguiente tabla.

� PROBABILIDAD DE FALLA BAJO DEMANDA (PFD): Es un valor que indica la probabilidad que tiene un sistema en fallar ante una demanda de su funcionalidad. Típicamente se calcula la probabilidad promedio durante un intervalo de tiempo específico (PFDavg) denominado tiempo de la misión. La PFDavg determina el grado de integridad que tiene el sistema (SIL).

� SISTEMA INSTRUMENTADO DE SEGURIDAD (SIS): Es la implantación de una o mas funciones instrumentadas de seguridad (SIF). Un SIS está compuesto por cualquier combinación de sensores, “Logic Solver” (Ej. PLC) y elementos de acción final, y puede incluir o no el software.[IEC-61511] RECUERDE: EL SIS NO ESTÁ SOLAMENTE CONFORMADO POR EL LOGIC SOLVER (PLC, PES, etc), TAMBIÉN SE DEBE CONSIDERAR LA INSTRUMENTACIÓN DE CAMPO Y LOS ELEMENTOS DE ACCIÓN FINAL.

� SISTEMA ELECTRÓNICO PROGRAMABLE (PES): Sistema de control, protección o supervisión, basado en uno o mas dispositivos electrónicos programables, incluyendo las fuentes de alimentación, sensores, elementos de acción final, y enlaces de comunicación. El “Logic Solver” forma parte del PES, y en este caso se llama PE. En sistemas de protección, los PE son normalmente Controladores de Lógica Programable (PLC) diseñados para aplicaciones de seguridad.[IEC-61511]

� FUNCION INSTRUMENTADA DE SEGURIDAD (SIF): Es una función de seguridad con cierto SIL implantada en un E/E/PES de modo de lograr la seguridad funcional requerida [IEC-61511]. RECUERDE: A cada una de las SIF se le debe asignar un SIL. El SIL no es una propiedad del sistema, es una propiedad de la SIF. En un SIS pueden coexistir mas de una SIF con SIL diferentes, tal y como se ilustra en la figura.

� CICLO DE VIDA DE SEGURIDAD: Secuencia de actividades involucradas en la implantación de un SIS desde su concepción hasta que es puesto fuera de servicio.[ISA-S84.01]. El ciclo de vida de seguridad es un proceso a lazo cerrado, el cual involucra la identificación de peligro, evaluación de riesgos, diseño e implantación de los sistemas de seguridad y verificación continua del cumplimiento de sus funciones.

� Este ciclo de vida es implantado a través de tres etapas (Análisis, Realización, y Operación).

� CAPAS DE PROTECCIÓN INDEPENDIENTES (IPL): La implantación de sistemas de seguridad, se basa en el concepto de capas de protección. Una capa de protección es un grupo de equipos y/o controles administrativos que funcionan en concierto con otras capas de protección, para prevenir o mitigar un riesgo en el proceso. Una capa de protección debe cumplir con el siguiente criterio:

◦ Reducir el riesgo en cuestión por un factor de 10 o mayor.◦ Tener un grado de disponibilidad de la menos 90%◦ Cumplir con las siguientes características.

� Especificidad: Debe prevenir o mitigar las consecuencias de un evento peligroso específico.

� Debe ser independiente de otras capas de protección. La ocurrencia de un evento en una capa no impacta otras capas.

� Debe ser diseñada para manejar tanto fallas sistemáticas como aleatorias.

� Debe facilitar una validación regular de las funciones de protección