Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas de Seguridad Sss
Sistemas de Seguridad Sss
1 ;
1
Existen numerosas bases de datos (p. ej EXIDA) as como software especializado en clculo de PFD,
factores SIL, etc. (p. ej. EXSILENTIA de EXIDA) que tienen tabulados los valores de DC dependiendo de
los intervalos de test que se practiquen.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
136
( ) ( ) t t F e t F
t
=
1 (6)
Aproximacin vlida para probabilidades menores de 0,2 que es donde nos
moveremos
Por tanto la probabilidad de fallo media ser:
( ) dt * t PF *
T
1
PFavg
T
0
= ;
( ) t t PF * (7)
2 / TI * PFavg (8)
Por tanto con aproximaciones, cada vez que hacemos un test total de la vlvula esta
vuelve a su valor inicial de probabilidad de fallo, con lo que la probabilidad de fallo media
se mantiene en un valor que depende del intervalo de tiempo entre pruebas.
Con el PST la probabilidad de fallo de la vlvula no vuelve al punto original (0) sino
que queda un residuo de probabilidad de fallo, ya que no es posible diagnosticar todos los
fallos posibles. El punto inicial de probabilidad de fallo se desplaza segn el factor de
cobertura de diagnstico (DC) que obtengamos fruto del periodo de test y de las
condiciones de la vlvula (son datos que obtenemos de bases de datos como EXIDA y
algn fabricante). La siguiente grfica sintetiza la ecuacin (3) de este apartado.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
137
Qu conseguimos con el PST?
Verificar la vlvula sin parar el proceso, aunque no es una prueba total que
compruebe al 100% los fallos potenciales.
Como nos ayuda el PST a mantener o conseguir el ndice SIL meta especificado:
El esquema anterior refleja cmo podemos mantener un SIL 3 si hacemos
trimestralmente un PST y anualmente un FST (prueba total). Vemos que si no se hiciese el
PST el ndice SIL se degrada a un nivel de integridad 2.
El PST tambin se puede utilizar para lograr alargar el periodo de pruebas del 100%
que implican paro de la instalacin. El siguiente caso tenemos una vlvula con ndice SIL
de 2 y vemos que realizando un PST trimestralmente podemos alargar la inspeccin total
de la vlvula a 2 aos.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
138
Indicar que todos estos clculos de verificacin para ver si una funcin
instrumentada de seguridad alcanza el SIL objetivo especificado se realizan mediante
software especializados en tema de seguridad funcional y que contienen bases de datos de
diferentes organizaciones, fabricantes y normas donde se incluyen todos los datos
referentes a confiabilidad y operabilidad de todos los componentes susceptibles de ser
utilizados por un Sistema Instrumentado de Seguridad y que automticamente generan
todos los documentos que requiere la norma. Un buen ejemplo de este software y
probablemente el ms utilizado sea EXSILENTIA
1
SILect +SRS +SILver, perteneciente
a EXIDA.
La siguiente tabla muestra los modos tpicos de fallo de los elementos finales y la
deteccin del fallo con diferentes estrategias de pruebas.
Modo de Fallo Efecto PST FST
Prdidas del aire de
instrumentacin
Movimiento lento
de la vlvula para
abrir o cerrar
Detectable. Se
reporta como un
evento.
Detectable.
Lnea de aire al
actuador bloqueada
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
Empaquetaduras
muy apretadas
Movimiento lento
de la vlvula para
abrir o cerrar
Detectable. Se
reporta como un
evento.
Detectable.
Vstago atascado
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
1
EXSILENTIA es un paquete software realizado por EXIDA de generacin y documentacin en
seleccin y verificacin del SIL y SRS.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
139
Actuador/vlvula
atascada
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
Asiento vlvula
daado
Vlvula presenta
fugas
No detectable.
Detectable. Precisa prueba
con medicin de fugas
Asiento vlvula
sucio o endurecido
Vlvula presenta
fugas
No detectable.
Detectable. Precisa prueba
con medicin de fugas
Tamao actuador
inapropiado para
operar en
condiciones de
emergencia
Vlvula no cierra (o
abre)
No detectable Detectable
Bibliografa y referencias:
[1] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Seminario: Descripcin general de la Seguridad. EMERSON Process Management, Tarragona, J unio
2006.
[4] Fiabilidad y Seguridad: Su aplicacin en procesos industriales. Antoni Creus i Sol. 2 edicin.
MARCOMBO, 2005.
[5] Seminario: PAS Process Safety Seminar. Luis Garca (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[6] The effects of Partial Stroke Testing on SIL level, EXIDA. www.exida.com
7.5.5 Tecnologa de control. Seleccin
Existen varias tecnologas de control disponibles utilizadas en sistemas
instrumentados de seguridad: neumticas, tecnologa con rels electromecnicos,
tecnologa de estado slido, y PLCs (controladores lgicos programables). No hay un
mejor sistema en general. Cada uno tiene ventajas y desventajas. La decisin sobre qu
sistema es el ms adecuado para la aplicacin depende de muchos factores tales como el
presupuesto, el tamao, el nivel de riesgo, la flexibilidad, la complejidad, el
mantenimiento, comunicaciones y requerimientos de interfaz, etc. y por supuesto la
poltica de estandarizar equipos dentro de la compaa, es decir, que para el diseo de los
sistemas de seguridad de sus plantas slo se acepten ciertas tecnologas y homologue 2, 3 o
como mucho 4 equipos diferentes, esto es una norma comn de empresas multinacionales
como EXXON, BASF, DOW, BAYER, REPSOL, BP, etc
Los sistemas neumticos aunque no muy usados actualmente, son equipos
perfectamente apropiados para ciertas aplicaciones. Los sistemas neumticos son
tpicamente usados en aplicaciones pequeas donde se requiere simplicidad, seguridad
intrnseca y donde no se dispone de posibilidad de suministro de energa elctrica en la
zona de aplicacin. Una aplicacin comn ha sido la industria offshore (plataformas
petrolferas fuera de costa), donde los sistemas deben funcionar sin energa elctrica. Son
sistemas fail-safe, un fallo o fuga resulta en el sistema una despresurizacin iniciando el
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
140
paro seguro de la planta. Precisa de gas seco y limpio. Un mal secado o filtrado del gas
puede ocasionar fallos en el sistema peligrosos como bloqueos de vlvulas, obstrucciones
de lnea, corrosin, etc. que hacen que el sistema no pueda funcionar cuando sea requerido.
Para evitar estos problemas se requieren frecuentes pruebas de funcionamiento (de forma
estndar mensualmente).
Los sistema con rels (aparecen en los aos 60) se basan en lgica cableada cuyos
principales elementos son rels. Se utilizan en sistema muy pequeos (menos de 15 I/O).
Son seguros y pueden alcanzar requerimientos SIL 3 si se realiza un diseo correcto.
Tienen un coste bajo, son inmunes a la mayora de la interferencias EMI/RFI, pueden
trabajar a diferentes rangos de tensin y poseen un tiempo de respuesta rpido (ms rpido
que un PLC). Se trata de un sistema fail-safe, esto significa que el modo de fallo es
conocido y predecible si trabajamos con rels de seguridad.
Como principales inconvenientes encontramos:
Paros molestos (spourious trips). Los sistemas con rels no suelen ser
redundantes, por lo que un fallo en un rel puede resultar un paro del proceso.
Complejo para sistemas grandes. Como mayor sea el sistema menos manejable
ser, la lgica rel se complica hasta el punto de llegar a perder la trazabilidad en un
seguimiento del circuito. Un sistema de 15 I/O es trazable. Un sistema de 500 I/O es
prcticamente imposible de seguir.
Cambio de lgica manual. Cualquier cambio de la lgica requiere un cableado y
un cambio de documentacin manual. El tener la documentacin actualizada requiere
un gran esfuerzo y un estricto seguimiento de los procedimientos. Imaginemos
cientos de rels conectados entre ellos en un panel, es difcil de seguir, difcil de
documentar y difcil de manipular. Estos problemas, junto con otros, fueron los que
llevaron al desarrollo de los PLC.
No existe interfaz de comunicacin. No existe la posibilidad de comunicacin con
otros sistemas.
No incorporan ningn estndar para realizar test y bypases. Estos se pueden
realizar incrementando considerablemente la complejidad y el coste de los paneles.
Solo admite seales digitales. No est pensado para la utilizacin de seales
analgicas de forma segura (fail-safe)
Sistemas de estado slido (surgen en los aos 70). Son lgicas cableadas sin software
y estn basadas en rels de estado slido. Los sistemas de estado slido (tecnologa
CMOS) fueron diseados para sustituir a los rels. Aunque an hoy en da son utilizados
para pequeas aplicaciones empiezan a estar en desuso. El principal defecto de los sistemas
de estado slido es que la probabilidad de modo de fallo es de 50/50 (50% fail safe y 50%
fallo peligroso).
Principales ventajas:
Capacidad de test y bypass. Los sistemas de estado slido dedicados a seguridad
incluyen estndar de test y posibilidad de bypasear (con llaves).
Comunicacin serie. Algunos sistemas tienen la posibilidad de realizar
comunicacin con sistemas externos, normalmente usado para alarmas y para
visualizar el estado del sistema.
Sistemas rpidos. Pueden llegar a ser ms rpidos que un PLC.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
141
Sistemas diseados para altos niveles de integridad de seguridad.
Principales inconvenientes (muy similares a los del sistema rel):
Complejidad. Son sistemas cableados, por lo que los paneles suelen ser complejos
de seguir y cualquier modificacin ha de ser cableada y documentada manualmente.
Lgica binaria. Son sistemas que se basan en la lgica ON/OFF como los rels.
No son capaces de realizar control analgico ni PID, aunque son capaces de adaptar
seales analgicas de entrada sin que puedan ser utilizadas en aplicaciones con
funciones matemticas.
Alto coste. Son sistemas muy caros, en muchos casos ms caros que un PLC con
redundancia triple.
Los primeros usos de los sistemas de estado slido fueron en aplicaciones pequeas
que requeran un alto nivel de seguridad, incluso SIL 4.
Como hemos comentado la utilizacin de estos sistemas estn en desuso. Slo para
muy pequeas instalaciones y para quienes no quieran depender de un software se utilizan
los sistemas con rels o los sistemas estado slido, y entre ambos para aquellos que quieran
ms funcionalidad se utilizarn los sistemas estado slido.
Sistemas basados en PLCs. Tecnologa que aparece en los aos 80. Desde su
aparicin han sido ampliamente utilizados en aplicaciones de proteccin y seguridad. Son
sistemas basados en software que requieren programacin ofreciendo un gran nmero de
ventajas como:
Coste razonable.
Facilidad y flexibilidad para hacer cambios.
Permite la comunicacin serie con otros sistemas.
Fcil documentacin.
Ocupan un tamao reducido.
Interfaz con el operador.
Sin embargo el diseo inicial del PLC no estaba concebido para aplicaciones de
seguridad y eran utilizados en tareas para las que no haban sido concebidos. Muchos
PLCs no tenan la capacidad de realizar diagnsticos, no eran fail-safe, es decir, no
garantizaban el conmutar a una posicin segura en caso de fallo, ni podan ofrecer un nivel
de redundancia para ser usados por encima de SIL 1.
Los principales modos de fallo detectados en los PLCs y que por tanto no
aconsejaban su uso para seguridad fueron los siguientes:
La CPU deja de ejecutar el programa.
Las entradas/salidas dejan de verificar los valores de proceso actuales, por lo que
las decisiones son tomadas en base a unos datos no reales.
Las seales digitales de entrada pueden quedar en posicin abierta 0 o en
posicin cerrada 1, por lo que la CPU no recibe el valor real del proceso.
Los valores de salida digitales quedan congelados en un valor 0 o 1 no
respondiendo a las rdenes de la CPU.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
142
Un fallo en la memoria de la CPU hace que el programa se ejecute de forma no
correcta.
La ejecucin del programa se puede detener por fallo del temporizador guardin.
Para solucionar estos problemas se empez a desarrollar lo que actualmente se
conocen como PLCs de seguridad (SPLC
1
). Actualmente es la tecnologa de control ms
utilizada.
PLCs de seguridad. Los PLCs de seguridad (tambin conocidos como PES
Programmable electronic systems, IEC 61508) aparecen a finales de la dcada de los 80 y
como principales rasgos incorporan un alto nivel de diagnsticos, implementan
redundancia, y son PLCs certificados por entidades independientes (TV, FM).
Aparece el trmino redundancia y tcnicas de diagnstico para mejorar seguridad y
disponibilidad de PLCs de seguridad. Se tratan de sistemas TMR (Triple Modular
Redundant), sistemas que triplican los PLCs y realizan una votacin 2oo3. Introducidos a
final de la dcada de los 80 fueron los primeros sistemas diseados para aplicaciones de
seguridad. Al tener los circuitos triplicados y poder realizar cierto grado de diagnsticos en
cada entrada/salida, mdulos y circuitos funcionales, ciertos fallos son detectados y
reportados en forma de alarmas. Se trata de sistemas que alcanzan SIL 3 y estn
certificados por TV. Como ejemplo tenemos el TMR Tricon de Triconex (INVENSYS).
Posteriormente en los aos 90 aparecen sistemas que incorporan un alto grado de
autodiagnsticos (D) que unido a una votacin 1oo2D o DMR dan niveles comparables de
disponibilidad y seguridad con ms tolerancia a fallos y menos coste que los sistemas
TMR. Tambin son sistemas certificados por TV y de acuerdo con los estndares IEC
61508 para cumplir con SIL 3. Ejemplo de estos sistemas son: FSC de Honeywell, Master
Safeguard de ABB y el H41q/H51q de Hima.
Una ltima generacin de PLCs de seguridad empieza a surgir en el ao 2000.
Emplea un altsimo grado de diagnstico (D) para alcanzar altos niveles de seguridad
funcional. La redundancia es opcional para alcanzar alta disponibilidad ya que al ofrecer
tan alto grado de diagnstico no es necesaria la votacin entre elementos para alcanzar
niveles de integridad SIL 3. Son sistemas altamente modulares y escalables. Ofrecen una
alta integracin con el DCS. Algunos Incorporan tecnologas de bus de campo (profisafe
DP) y herramientas avanzadas de programacin. Son sistemas tolerantes a ms de un fallo
a la vez. Tambin son sistemas certificados por TV y de acuerdo con los estndares IEC
61508 para cumplir con SIL 3. Ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de
Siemens, DeltaV SIS de Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de
Yokogawa.
Estos sistemas de ltima generacin son los llamados sistemas FMR (Flexible
Modular Redundancy).
En resumen existen diferentes tecnologas de control para aplicar en nuestros
sistemas de seguridad. La eleccin de cada una de ellas depende del grado de seguridad
que queramos obtener, de la inversin que se quiera realizar y de la cantidad de variables
que se quieran controlar.
Como el mercado es muy amplio las compaas crean estndares propios basndose
en las normas y guas existentes (IEC 61511, IEC 61508, etc.) y que cumplen con las
1
SPLC (Safety PLC), PLC de seguridad.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
143
directivas existentes (ej. Seveso II en Europa). En estos estndares se marcan que
productos pueden ser utilizados en sus instalaciones y de qu forma para poder cumplir con
el SIL meta establecido en el anlisis de riesgos. Hoy en da, la tecnologa preferida por la
mayora de las empresas para nuevas aplicaciones SIS son los PLCs de seguridad (PES,
programmable electronic systems) por modularidad, disponibilidad de operacin y de
seguridad, alta capacidad de diagnsticos programables y facilidad de integracin y
programacin. Estamos hablando siempre de SPLCs certificados por organizaciones
independientes como TV o la americana FM.
Bibliografa y referencias:
[1] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
7.5.6 PLC de seguridad
Si hablamos exclusivamente de sistemas programables electrnicos (PES) tambin
conocidos como PLCs de seguridad todos los requerimientos del PES a utilizar en el
sistema de seguridad deben estar especificados en las especificaciones de los requisitos de
seguridad (SRS). Como requerimientos bsicos contemplamos los siguientes:
Por lo general una empresa ha de elegir un SPLC aprobado por un organismo
certificado (TV, FM), de forma que cubra hardware, firmware, software de
ingeniera y utilidades de comunicacin.
Las funciones automticas de diagnsticos deben poder ser realizadas por el
programa de aplicacin, aunque ya disponga de un alto grado de diagnsticos.
El estado seguro de un SPLC y de los elementos de campo conectados a l debe
ser desenergizado o bajo (0).
Las seales implementadas sern, si es posible, analgicas para facilitar los
diagnsticos.
La conexin de elementos de campo redundantes al SPLC se realizar en tarjetas
de entrada o salida diferentes para aumentar disponibilidad y seguridad y evitar fallos
de causa comn. Estas seales redundantes deben ser comparadas por discrepancia
en la aplicacin software del SPLC. Los requerimientos para la conexin fsica de
estos elementos al SPLC deben estar en el manual del fabricante.
A la hora de configurar adecuadamente el SPLC se debe tener cuidado en asegurar
que todos los parmetros del sistema estn configurados dependiendo de cada aplicacin
especfica de seguridad. Se dar una atencin especial a:
El nivel SIL de la SIF.
Tiempo de ciclo mximo.
Arquitectura del sistema.
Tiempo de respuesta.
Tiempo lmite de monitorizacin y comunicacin.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
144
Configuraciones I/O
1
y conexiones.
Acceso limitado de comunicacin externa (p. ej. con el BPCS).
Reaccin de las I/O y los sistemas de fallo.
Cualquier requerimiento definido en el documento de aprobacin del certificado
de seguridad (expedido por TV o FM) que acompaa al SPLC o PES.
7.5.6.1 Software de Aplicacin
La norma IEC 61511 describe 3 tipos de software: aplicacin, de servicios, y
embebido. El software de aplicacin es el que el usuario del sistema escribe y descarga al
controlador, es la lgica de seguridad. El software de servicios se utiliza para desarrollar y
verificar el programa de aplicacin. Software embebido es suministrado como parte del
sistema programable, es el firmware. Los dos ltimos estn regulados para aplicaciones de
seguridad por la IEC 61508, los cuales son explcitamente indicados en el certificado de
cumplimiento para aplicaciones de seguridad. En el caso del primero, que es el software de
aplicacin tiene la flexibilidad de desarrollar las SIF definidas por la especificacin de los
requerimientos de seguridad (SRS) lo cual debe cumplir con un ciclo de vida de seguridad
para el software, que est totalmente regulado por la IEC 61511 y la ANSI/ISA-84.00.01-
2004. Este ciclo de vida toma como base la informacin de las SRS del SIS y la
arquitectura de los mismos previamente aprobados junto con las caractersticas propias del
sistema.
Asimismo la norma IEC 61511 contempla tres tipos de lenguaje software: fixed
program languages (FPL), limited variability languages (LVL), full variability languages
(FVL). FPL el usuario slo puede ajustar ciertos parmetros como el rango de un
transmisor, la lgica est fijada. LVL contiene funciones de librera predefinida de
funciones predesarrolladas y testeadas, incluyen lgicas de escalera, lgica secuencial,
funcin de diagramas de bloques. Este tipo de lenguaje permite al usuario combinar las
diferentes funciones para configurar o programar la aplicacin lgica requerida. FVL son
lenguajes mucho ms complejos y permiten un mayor rango de funcionalidad, Pascal y C
son dos ejemplos. Este ltimo est diseado para ser comprensible por programadores.
Actualmente muchos software de programacin para la electrnica programable (PE)
de los Sistemas Instrumentados de Seguridad emplean La Matriz de Causa Efecto para
configurarlos (un ejemplo es SIMATIC Safety Matrix de SIEMENS) y que es considerada
como una herramienta de configuracin, dado que funcionalmente es la representacin
grfica de la matriz causa efecto y est basada y crea internamente bloques funcionales o
alguna representacin en lenguajes LVL para desarrollar las distintas funciones de
seguridad de cada funcin instrumentada de seguridad que se indica en las propias
especificaciones de requerimientos de seguridad del SIS.
El estndar IEC 61511 se limita a tratar el desarrollo del software de aplicacin
usando los lenguajes FPL o LVL. La mayora de compaas recomiendan el uso de
lenguajes tipo LVL.
Un software de aplicacin para programacin de la lgica de seguridad ha de ser
desarrollado de tal forma que logre:
Modularidad y funcionalidad.
1
I/O son las entradas y salidas del sistema
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
145
Facilidad para probar la funcionalidad, incluyendo caractersticas de tolerancia a
fallos.
Posibilidad de realizar modificaciones seguras.
Posibilidad de aadir comentarios y nombres comprensibles a las variables (tags).
El software debe ser fcilmente legible a travs de la pantalla y tambin a travs
de la documentacin impresa.
El diseo de cada mdulo de aplicacin ha de ser robusto, ha de chequear los
datos de las variables. Si existe un error en alguna de las variables ha de ser capaz de
reconocerlo, reaccionar y corregirlo (incluyendo deteccin de fallo de la
instrumentacin de campo, como fuera de rango, seales pegadas, etc.).
En sistemas integrados con software comunes (ej. DeltaV SIS y DeltaV de
EMERSON o SIMATIC PCS7 y SIMATIC S7-400FH de SIEMENS) que utilizan un
software de aplicacin equivalente para seguridad y para control, los mdulos
programados de seguridad estarn separados de los de control y estarn etiquetados
como mdulos relativos a la seguridad.
Cada fabricante de SPLC certificados para seguridad incorporan su lenguaje de
programacin, su software de aplicacin, junto con su ciclo de vida y cumpliendo en gran
medida con todos los requisitos aqu mencionados.
Una de las ventajas de utilizar un sistema programable es la capacidad para probar la
lgica. Podemos realizar simulaciones con el SPLC fuera de lnea. La mayora de los
fabricantes entregan con sus equipos un programa de simulacin que permite probar la
aplicacin durante su desarrollo y una vez desarrollado.
Una vez se ha realizado la programacin y previo a la conexin de los elementos de
campo se ha de realizar un test del software para comprobar la funcionalidad lgica y la
interface con el operador del SPLC. Siempre se ha de testear el programa antes de su
instalacin definitiva en planta. Este test del software se realizar durante las pruebas FAT
(Test de Aprobacin en Fbrica) (Ver captulo 7.7 Pruebas de aceptacin de fbrica (FAT,
Factory Acceptance Test)).
7.5.6.2 Documentacin
En general:
Especificacin de los requisitos de seguridad (SRS) basados en el anlisis de
riesgos y peligros.
Hardware:
Diagramas de lazo y cableado.
Descripcin de la interface y diagramas.
Puntos de ajuste de parmetros del sistema.
Documentacin certificada de aprobacin del SPLC y sus componentes
Programa de aplicacin:
Descripcin del programa de aplicacin.
Descripcin de las funciones de librera.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
146
Lgica programada.
Lista de variables, constantes,
Identificacin de las funciones de no-seguridad.
Copia del programa de aplicacin, escrita y guardada electrnicamente.
Pruebas:
Pruebas realizadas y resultados.
Persona/s que realizan la prueba y persona que lo aprueba.
Fecha de la prueba.
7.5.6.3 Operacin, mantenimiento y modificacin
El fabricante del SPLC indica en su manual de seguridad el ciclo de vida del equipo
y el mantenimiento preventivo que debe realizarse para asegurar su correcto
funcionamiento como:
Inspeccin peridica del armario/cabina donde se encuentra el SPLC para
inspeccin visual y eliminacin de polvo.
Inspeccin peridica de la refrigeracin del armario.
Cambio de bateras del SPLC, segn especificacin del fabricante.
Mantenimiento del UPS de la planta, incluyendo bateras.
Realizacin de Back ups despus de cada modificacin del software del SPLC y
como mximo anualmente a fin de tener siempre la ltima versin del programa instalado,
que nos asegure una rpida configuracin del sistema. (Ejemplo ANEXO Q: Proteccin de
la informacin).
Etc.
Las tarjetas I/O y controladores (CPUs) que estn en fallo o contengan algn
elemento en fallo debern ser cambiados inmediatamente. Si se trata de elementos
redundantes se podr hacer en lnea, teniendo en cuenta el tiempo lmite programado que
puede un sistema estar en un escenario de fallo antes de llevar el sistema a paro.
Se han de realizar test de funcionalidad del SPLC y de las funciones de seguridad
(ver captulo 7.9.2 Pruebas funcionales e inspeccin (Proof Testing)) y se han de leer
regularmente la lista de errores y eventos que recopila el SPLC, en una herramienta que se
llama SOE (secuencia de eventos).
El software de aplicacin debe estar protegido mediante passwords para evitar
cambios por personal no autorizado. El operador de planta no debe tener acceso al sistema
de seguridad ni posibilidad de cambio en el programa de aplicacin. (Ejemplo ANEXO Q:
Proteccin de la informacin).
Todos los cambios realizados deben estar documentados y aprobados.
En sistemas de seguridad, realizar una modificacin del programa, manipular una
tarjeta del sistema, realizar un cambio de cualquier tipo implica una situacin peligrosa,
por lo que slo personal autorizado podr acceder a la aplicacin software, a los
parmetros del sistema y al sistema hardware.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
147
Cuando se deba hacer una actualizacin del firmware para actualizar versiones del
sistema, esta se har con la planta parada y por personal especialista en el sistema, a ser
posible personal de mantenimiento e ingeniera del fabricante.
Es una buena prctica el realizar un contrato de mantenimiento con el fabricante del
equipo de tal forma que el cliente, en este caso la empresa propietaria del SPLC se asegure
principalmente:
De que cualquier intervencin es su equipo de seguridad lo har personal
cualificado y certificado.
Estar informado de posibles eventos e incidentes que puedan suceder en equipos
similares en otras plantas y que pudiesen reproducirse en su sistema.
Estar informado del estado del SPLC frente a su ciclo de vida.
Guardar la ltima versin del programa instalado.
Bibliografa y referencias:
[1] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[3] Catlogo DELTA V SIS for Process Safety Systems. Published by EMERSON.
7.5.7 Seleccin de equipos. Equipos Certificados o uso previo
El objetivo es escoger el equipo apropiado para el propsito requerido, desde
elementos finales y sensores hasta los resolvedores lgicos (PLCs de seguridad
normalmente).
La normativa IEC 61511 parte 1, recomienda que los equipos utilizados en los
sistemas instrumentados de seguridad se seleccionen basndose en una certificacin IEC
61508 para el SIL apropiado, o en una justificacin basada en el criterio de uso previo.
Actualmente existe una tendencia a certificar los instrumentos para sistemas de
seguridad segn la normativa IEC 61508. Estos instrumentos, (transmisores, PLC de
seguridad, actuadores, solenoides, vlvulas, etc.) se diferencian de los convencionales por
el nivel de diagnsticos que soportan. Como resultado final del proceso de certificacin se
emite un certificado donde se especifica el nivel de integridad SIL para el cual el producto
est calificado y las normativas que fueron usadas para la certificacin. Estos equipos
cumplen con todos los requerimientos de la norma IEC 61508. Comentar que hay
productos que se certifican con alguna restriccin y esencialmente indica cuando el
producto no cumple alguno de los requerimientos de la normativa. Estas restricciones se
detallan en el manual de seguridad del equipo y han de tenerse en cuenta a la hora de
disear el sistema de seguridad.
Todo equipo, por tanto, ir acompaado de su manual de seguridad donde se
especifica:
Requerimientos y restricciones para el uso.
Lmites ambientales.
Ajustes adicionales y opcionales.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
148
Informacin de tasas y modos de fallos.
Informacin sobre vida til.
Estimaciones del factor b de fallos en modo comn.
Procedimientos de inspeccin y pruebas de calibracin.
Para poder obtener la certificacin hace falta que un tercero independiente realice
una evaluacin de seguridad para certificar que el equipo cumple con todos los
requerimientos de la normativa IEC 61508 (ejemplo TV, FM y EXIDA).
Para equipos basados en el criterio de uso previo la normativa IEC 61511 no da
detalles especficos acerca de lo que realmente significa. Sin embargo todo el mundo
acepta que si una empresa tiene muchos aos de experiencia con xito sobre un equipo (sin
fallos peligrosos), y adecuadamente documentado se puede justificar el uso del
instrumento, aun cuando no cuente con certificacin de seguridad.
Para ayudar a los usuarios finales, muchos fabricantes anexan evaluaciones
realizados por terceros que incluyen:
FMEDA (Failures Modes, Effects and Diagnostics Analysis): el fabricante provee
informacin sobre las tasas de fallos y los modos de fallos. Se trata de una gua de
anlisis para calcular y clasificar las tasas de fallos y el SFF (Safe Failure
Fraction) de un equipo electrnico o mecnico de acuerdo con los requerimientos
de la IEC 61508. Un ejemplo es EXIDA que realiza estudios FMEDA para
empresas fabricantes como EMERSON, Endress&Hauser, ABB y otros.
Uso previo: el fabricante provee historia de modificaciones e informacin de
comportamiento en campo. Se trata de componentes o subsistemas que se ha
demostrado por la experiencia que no experimentan fallos a lo largo de un periodo
de tiempo suficiente, por lo que pueden ser considerados como aptos para su uso.
La norma IEC 61508 parte 7 anexos B.5.4 y la IEC 61511 parte 1 seccin 11.4.4 y
11.5.3 indica que requerimientos deben cumplir estos componentes.
En ambos casos se acepta la utilizacin del instrumento sin la certificacin de
seguridad hecha por un tercero (TV, FM, EXIDA, etc.) segn IEC 61508 y IEC 61511.
Normalmente las grandes compaas con grandes recursos suelen tener un listado de
equipos autorizados para ser usados en seguridad y una arquitectura definida para cada SIL
objetivo. Con lo que se facilita y estandariza la ingeniera, diseo e instalacin de las
funciones instrumentadas de seguridad segn el SIL objetivo a lograr.
Si se usan equipos no estndares de la compaa se debe hacer un estudio de
seguridad y clculos para comprobar que se alcanza el SIL objetivo, por esta razn se
estandarizan sus arquitecturas y equipos en temas de seguridad con el fin de tener un
estndar global y de facilitar el diseo de nuevos sistemas de seguridad.
Bibliografa y referencias:
[1] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[2] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com
[3] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[4] http://www.exida.com
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
149
7.5.8 Tolerancia a Fallos Hardware (HFT). Seleccin de Arquitectura.
En todo sistema de seguridad lo que se pretende es alcanzar un sistema tolerante a
fallos sin comprometer la seguridad del proceso. Un sistema tolerante a fallos es aquel que
es capaz de continuar realizando la funcin de seguridad en presencia de uno o ms fallos
peligrosos en hardware.
La redundancia es la tcnica usada para conseguir un sistema tolerante a fallos. El
sistema ms comn de redundancia de hardware es la votacin por mayora. La votacin es
adecuada para fallos imprevistos que afectan a las acciones del sistema y se compensan
con funciones redundantes que enmascaran el sistema. La redundancia del sistema vendr
definida por la arquitectura seleccionada para el sistema. La seleccin de arquitecturas es
una actividad que debe ser definida durante el paso del diseo conceptual. La arquitectura
tiene un fuerte impacto sobre la integridad de la seguridad del sistema.
Hemos de determinar qu nivel de redundancia requerimos para lograr el SIL
objetivo y disponibilidad para todos los elementos que forman parte del SIS (sensores,
revolvedor lgico y elementos finales). Un ejemplo de esto se puede dar en un SIS que
requiera una arquitectura 1oo2 para alcanzar el nivel SIL requerido pero resulta que
preocupa posibles paros molestos (spurious trip), en esta situacin podemos elegir una
estructura 2oo3 que mantiene el nivel integro de seguridad pero aporta una mayor
disponibilidad.
Que 2 sensores fallen a la vez es difcil, pero puede producirse ya que existen los
fallos de causa comn y fallos sistemticos que podran afectar a varios sensores a la vez,
Los fallos de causa comn normalmente van asociados a factores externos como, calor,
vibracin, corrosin o errores humanos. Los errores sistemticos son errores de diseo. Por
lo que se recomienda que:
Mltiples sensores vayan conectados al proceso en diferentes ramas.
Mltiples sensores y equipos se alimenten de diferentes suministradores.
La seal de los sensores y equipos hasta el SIS vaya por diferentes caminos.
Otras recomendaciones que se pueden considerar en el diseo son:
Uso de diferentes tecnologas para una misma medida (p.ej. flujo por placa de
orificio y por medidor de turbina).
Utilizar redundancia diversa (diferente tecnologa, fabricante, diseo, software,
etc.) con el fin de reducir la influencia de los fallos de causa comn solo si es
estrictamente necesario.
Como hemos dicho HFT indica la capacidad que tiene un componente o subsistema a
realizar su funcin de seguridad incluso bajo alguna condicin de fallo. Un nivel 1 de HFT
significa que hay 2 equipos con una arquitectura tal que un fallo peligroso en uno de ellos
no impide la accin de la funcin de seguridad.
En este contexto HFT N significa que N +1 fallos hardware puede ocasionar la
prdida de la funcin de seguridad.
Redundancia es un trmino que se utiliza en automatizacin para conseguir,
esencialmente, disponibilidad.
Repasemos el concepto de probabilidad de fallo en demanda. En sistemas sin
diagnstico el comportamiento de un sistema de seguridad se basa en la siguiente figura
7.5.8.1:
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
150
Figura 7.5.8.1 Probabilidad de comportamiento en un sistema sin diagnstico
1 = + + idad Disponibil PFS PFD
PFD: Probabilidad de que el sistema falle en forma peligrosa. Ante una demanda del
sistema este no actuara. Provoca una situacin peligrosa.
PFS: Probabilidad de que el sistema falle de forma segura. Provoca paros molestos.
Disponibilidad: Probabilidad de que el sistema realice con xito la funcin para la
que fue diseado en el instante de tiempo requerido
Ligado a la evolucin de los sistemas de seguridad, en un principio lo que se
pretenda lograr era disminuir las probabilidades de fallo en demanda (PFD)
1
, mantener el
sistema seguro y alcanzar el SIL meta especificado para cada funcin de seguridad. Con
este fin se empez a aplicar el concepto de redundancia.
Por otro lado tambin era necesario evitar los paros innecesarios (paros molestos o
spourious trips) no producidos por una desviacin real del proceso sino por algn fallo en
modo seguro de algn componente y que llevan al paro de la planta con todos los
inconvenientes que se pueden derivar, prdidas econmicas, condiciones de paro
inestables, etc. En este caso tambin se recurre a la redundancia para aumentar
disponibilidad. Un caso tpico es utilizar fuentes redundantes de alimentacin para
aumentar disponibilidad. Son redundancias que estn a la espera.
En el siguiente anlisis utilizaremos siempre las ecuaciones simplificadas, sin tener
en cuenta los efectos de los fallos de causa comn, fallos sistemticos y en sistemas con
diagnsticos o sistemas con HFT >1 la parte que debe ser aadida al PFD debida al tiempo
de reparacin del elemento en fallo (MTTR). Asimismo consideraremos sistemas fail safe
que en seguridad considera desenergizar para situacin segura.
1
PFD (Probabilidad de fallo en demanda): El sistema no acta cuando se produce una demanda, existe
una situacin peligrosa en el proceso. PFS (Probabilidad de fallo seguro): El sistema de seguridad acta sin
razn alguna.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
151
Los principios de exclusin o tolerancias de fallos para subsistema
1
individuales son:
Arquitectura 1oo1 (1 out of 1)
Ti PFD
D
* = (1) Ti PFS
S
* = (2)
NOTA: Ver el captulo 7.5.4.3 para ver cmo se llega a la ecuacin simplificada de
Probabilidad de Fallo:
( ) t t PF *
Utiliza un sistema de canal simple. Un fallo se traduce en la prdida de la funcin de
seguridad y en la parada del proceso. HFT =0.
Fallo seguro: El contacto rel abre e interrumpe el suministro de energa a la
electrovlvula.
Fallo peligroso: Contacto rel soldado, imposible interrumpir el suministro de
energa a la electrovlvula.
Arquitectura 1002
Para disminuir la probabilidad de fallo en demanda (fallo peligroso), una de las
opciones por las que se opt fue duplicar y seriar el hardware. Para que el sistema falle en
1
Segn IEC 61511 por subsistema se entiende cualquier elemento del sistema que puede ser otro
sistema, bien de control o controlado, y puede incluir hardware, software e interaccin humana. Un sistema
incluye los sensores, los SPLCs, los elementos finales, las comunicaciones y equipos auxiliares
pertenecientes al SIS (cables, tubing, fuentes de alimentacin, etc.)
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
152
demanda de forma peligrosa es necesario que fallen los dos canales. El sistema slo
necesita un canal para realizar la funcin de seguridad.
Si un canal falla el sistema se degrada a un sistema 1oo1, por lo tanto tiene un
HFT=1.
De la aplicacin de rbol de fallos llegamos a las siguientes ecuaciones:
( )
2
*Ti PFD
D
= (3) ( ) Ti s PFS * * 2 = (4)
Como
D
y
S
son <0, vemos que este sistema es mucho ms seguro que un 1oo1,
llegando a valores de SIL 3, pero duplica la probabilidad de fallo seguro, disponibilidad
operacional baja, sistema molesto.
Arquitectura 2oo2
Este sistema no es muy utilizado debido a que es un sistema poco seguro, aunque sea
un sistema altamente disponible.
Del anlisis del rbol de fallos llegamos a:
( ) Ti PFD
D
* * 2 = (5) ( )
2
*Ti PFS
S
= (6)
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
153
Como vemos no es un sistema seguro, ambos canales han de activarse para realizar
la funcin de seguridad. Si un canal falla no se producir la funcin de seguridad, se trata
de una arquitectura con SIL 0. La disponibilidad operacional del sistema es alta.
De la misma manera que un sistema 1oo1 el fallo de uno de los canales implica la
perdida de la funcin de seguridad, por tanto HFT=0.
Arquitectura 2oo3
Con este sistema se busca aumentar la seguridad y a la vez aumentar la
disponibilidad operacional de la planta, evitando el efecto de los paros seguros.
Con este sistema se requieren que al menos dos elementos coincidan para realizar la
funcin de seguridad. Incrementa la disponibilidad operacional de la planta.
La funcin de seguridad de la planta sigue realizndose aun cuando si uno de los
canales falla. Incrementa la disponibilidad de seguridad.
Anlisis del rbol de fallos del sistema:
( )
2
* * 3 Ti PFD
D
= (7)
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
154
( )
2
* * 3 Ti PFS
S
= (8)
La gran ventaja de este sistema es que tiene una tasa de fallo seguro (disparos en
falso) mucho menor que un 1oo2, por lo que incrementa la disponibilidad de operacin,
aunque la probabilidad de fallo en demanda sea 3 veces mayor que un 1oo2, pero llega a
obtener valores SIL 3.
Asimismo puede tolerar el fallo de uno de sus canales (HFT=1), degradndose en un
sistema 2oo2 (SIL 0), que como hemos visto es el sistema ms peligroso y por tanto un
2oo3 degradado debe repararse rpidamente.
Este sistema fue el ms utilizado a finales de la dcada de los 70 y principios de los
80, hasta la aparicin de los sistemas con diagnsticos en la dcada de los 90.
Lo que realmente se busca es un sistema con mejor disponibilidad que un 2oo3, y un
mejor nivel de seguridad que un 1oo2 y con la capacidad de tolerar fallos sin comprometer
la seguridad. Con la capacidad de diagnstico lo que conseguimos es detectar fallos
peligrosos que pasan a convertirse en fallos seguros, por lo que solo deberemos
preocuparnos por los fallos peligrosos que el diagnstico no puede detectar y que sern la
base para calcular la seguridad del sistema.
Como se puede apreciar en las funciones instrumentadas de seguridad, los sensores,
los resolvedores lgicos (PLCs de seguridad en general) y los elementos finales debern
tener una tolerancia a fallo mnima para cumplir con los requisitos de seguridad. Asimismo
hemos visto que la tolerancia a fallos representa un mnimo de redundancia requerida para
satisfacer el nivel SIL meta de una funcin instrumentada de seguridad.
Con la aparicin de los diagnsticos surge una nueva variable que nos indicar la
efectividad del diagnstico segn la norma IEC 61511 parte 1. Se trata de la Fraccin de
Fallos Seguros (SFF) y se define como la razn entre la tasa promedio de fallos seguros
ms la tasa de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del
sistema.
Figura 7.5.8.2 Probabilidad de comportamiento en un sistema con diagnstico
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
155
Dnde:
DU DD SU SD
DD SU SD
SFF
+ + +
+ +
= (9)
Como vemos las tasas de fallos pasan a ser 4:
DU
: tasa de fallo peligroso no detectable.
DD
: tasa de fallo peligroso detectable.
SU
: tasa de fallo seguro no detectable.
SD
: tasa de fallo seguro detectable.
%SAFE: ratio de fallos que son fail-safe.
D
: tasa de fallo peligroso. ( ) SAFE
TOTAL D
% 1 = (10)
S
: tasa de fallo seguro. SAFE
TOTAL S
% = (11)
La capacidad de diagnstico es medida por el factor de cobertura C, que representa el
porcentaje de fallos que pueden ser detectados:
C
S
: Factor de cobertura de fallos seguros.
C
D
: Factor de cobertura de fallos peligrosos.
Por tanto:
S S SD
C = (12)
( )
S S SU
C = 1 (13)
D D DD
C = (14)
( )
D D DU
C = 1 (15)
Ejemplo. Si tenemos un transmisor con una tasa de fallo de 500E-9 fallos por hora,
con un 62 % de fallos fail-safe, con factor de cobertura para fallos seguros del 74% y para
fallos peligrosos del 96%. Qu tasa de fallos tendr el transmisor? SFF del transmisor?
Qu SIL puede lograr dependiendo de la tolerancia a fallo hardware dispuesto?
9 500 = E
TOTAL
%SAFE =0.62 (62%)
C
S
=74%
C
D
=96%
310 9 310 62 . 0 9 500 % = = = = E E SAFE
TOTAL S
FIT
1
1
FIT: unidad fallos en tiempo. Indica el mximo de fallos en componentes por cada 10
9
horas de
funcionamiento.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
156
( ) ( ) 190 9 190 62 . 0 1 9 500 % 1 = = = = E E SAFE
TOTAL D
FIT
4 . 229 74 . 0 310 = = =
S S SD
C FIT
( ) ( ) 6 . 80 74 . 0 1 310 1 = = =
S S SU
C FIT
4 . 182 96 . 0 190 = = =
D D DD
C FIT
( ) ( ) 6 . 7 96 . 0 1 190 1 = = =
D D DU
C FIT
9848 . 0
500
4 . 182 6 . 80 4 . 229
=
+ +
=
+ + +
+ +
=
DU DD SU SD
DD SU SD
SFF
98%
Con SFF =98% y tratndose de un dispositivo tipo B podemos decir:
(Ver apartado 7.5.8.1 HFT segn norma IEC 61511 y IEC 61508 de este captulo)
Indicar que todos los datos de tasas de fallos, ratios de cobertura de diagnsticos,
SFF, etc. son datos bsicos que han de proveer los fabricantes bien por Anlisis de Modos
de Fallos, Efectos y Diagnsticos (FMEDA) o por equipos de uso previo, para poder ser
utilizados en seguridad y son parmetros requeridos para la verificacin SIL. Se
recomienda utilizar equipos certificados por un organismo independiente (TUV, FM) que
justifique que cumple los criterios de la norma IEC 61508.
Arquitectura 1oo1D
Se trata de un sistema de un nico canal que incluye el autotest y un paro secundario
controlado por los diagnsticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
Analizando el sistema:
SU SD DU DD
+ + + = (16)
Los fallos seguros no afectan a la seguridad de la planta aunque sean molestos e
impliquen un paro de proceso y con los diagnsticos somos capaces de detectar los fallos
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
157
peligrosos que se produzcan en el sistema e inhiben la capacidad de actuacin en caso de
demanda. Por tanto con diagnsticos podemos decir:
DU
=
Como los fallos que pueden ser detectados dependen del factor de cobertura y es un
dato dado por el fabricante se deduce que:
( )
D D DU
C = 1 * (17)
( )
S S SU
C = 1 * (18)
Como ms se acerque el factor de cobertura a 1 para fallos en demanda, ms bajo
ser el valor de PFD. El sistema fallar cuando ocurra un fallo en demanda no detectado.
Ti PFD
DU
* = (19)
Ti PFS
SU
* = (20)
Con un sistema 1oo1D normalmente podemos alcanzar valores de SIL 2
dependiendo del factor de cobertura de que dispongan, aunque cada vez ms con los
equipos SMART (inteligentes) con una alta disposicin de diagnsticos podemos lograr
alcanzar SIL superiores.
Para obtener valores de SIL 3 debemos ir a arquitecturas 1oo2D.
Arquitectura 1oo2D
Se trata de un sistema de dos canales que incluyen el autotest y un paro secundario
controlado por los diagnsticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
La funcin es idntica al 1oo1D pero incrementando la disponibilidad de seguridad y
de operacin.
Para que se produzca una fallo peligroso los dos canales deben fallar en forma
peligrosa, es decir los diagnsticos de ambos no deben haber detectado fallos peligrosas,
por tanto son fallos no detectados (DU) peligrosos. Notar que siempre hay un canal
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
158
calculando y otro verificando, por lo que cualquier variacin entre ambos canales ser
detectada por los diagnsticos que abrirn el circuito y avisarn del evento. Es decir el
valor de PFD 1oo2D es el producto del elemento que calcula y el que verifica.
( )
2
*Ti PFD
DU
= (21)
( ) ( )
2
* 1 * Ti C PFD
D D
= (22)
De forma similar:
( ) Ti PFS
SU
* * 2 = (23)
( ) Ti C PFS
S S
* 1 * * 2 = (24)
Con esta arquitectura se alcanzan niveles de integridad SIL 3. Esta arquitectura al
degradarse por falla peligrosa se convierte en un 1oo1D, se degrada a un nivel SIL 2.
Como vemos con la aparicin de los diagnsticos se logran sistemas mucho ms
seguros teniendo un fuerte impacto en la PFD y la disponibilidad del sistema. Los
diagnsticos slo tienen sentido si van acompaados de un buen sistema de alarmas y de
una reparacin rpida del componente en fallo. El diagnstico condujo a nuevas
arquitecturas que permiten la reconfiguracin del sistema una vez el diagnstico ha
detectado un fallo, ello lleva a configuraciones muy efectivas al proveer de valores muy
bajos de PFD y PFS, asimismo conseguir una mayor disponibilidad y en el caso de un
1oo2D tener un HFT=1.
Ya en los aos 2000 aparece lo que se denomina la 3 generacin de sistemas de
seguridad. Se trata de sistemas con un altsimo nivel de diagnsticos que permiten factores
de cobertura de diagnstico del 99.9%, lo que permite alcanzar seguridad independiente de
redundancia y votacin. En estos casos la redundancia es opcional y se utiliza para
alcanzar disponibilidad. Son sistemas altamente modulares y escalables con una alta
integracin en el DCS, hasta ahora el concepto era de separacin entre DCS y SIS, con esta
nueva generacin de sistemas este concepto est cambiando. Alcanzan certificaciones
TV de SIL 3 segn los estndares IEC 61508. Como se indic en el captulo 7.5.5
ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de Siemens, Delta V SIS de
Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de Yokogawa.
Se trata de arquitecturas FMR (Flexibles Modulares Redundantes).
Analizando la eq. (17) y la eq. (19) de un sistema 1oo1D llegamos a la expresin:
( )
i D D
T C PFD * 1 * = (25)
A medida que los diagnsticos son mayores el factor de cobertura se acerca al 100%,
D
C tiende a 1, con lo que la PFD para fallos no detectados se acercar a 0 y los fallos
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
159
peligrosos detectados se convierten en fallos seguros por lo que el nivel de seguridad SIL
de una funcin depender de la tasa de fallos no detectados (
DU
). Si este valor es pequeo
podemos llegar a nivel SIL 3, y si es tan pequeo que duplicndolo sigue estando en los
valores de SIL 3 podemos decir que cualquier arquitectura que se disee con este elemento
Hardware se mantendr dentro del SIL 3. Es decir que podemos tener elementos
redundantes en cualquier sistema sin afectar la seguridad y aumentando la disponibilidad
(ver arquitectura 2oo2). Las arquitecturas FMR permiten mltiples fallas y poder trabajar
en modo degradado sin afectar el nivel de integridad de seguridad funcional original, aun
siendo este SIL 3. Ejemplos de esta arquitectura:
Simatic S7 400 F/FH de Siemens:
Figura 7.5.8.3 Ejemplo de FMR de Simatic S7 400 F/FH
Se trata de un sistema modular a todos los niveles. Los mdulos estn separados
fsicamente del controlador y conectados por un bus de comunicaciones estndar
certificado por TV para usos en seguridad funcional (Profisafe DP). Este bus permite la
comunicacin de cada componente con todos los dems.
El sistema puede tolerar mltiples fallas en diferentes componentes sin comprometer
la seguridad y sin parar la planta.
Una arquitectura que puede optar este sistema puede ser:
Figura 7.5.8.4 Ejemplo de configuracin Simatic S7 F/FH
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
160
1. Cada componente de cada elemento Hardware puede separarse fsicamente de los
dems (minimiza causa comn) y tiene capacidad de diagnstico independiente y
certificado a nivel SIL 3.
2. Tiene un valor de disponibilidad segura independiente de redundancia ya que tiene
un factor de cobertura altsimo.
3. Cada componente utiliza ms de un medio y procedimiento para intercambiar
informacin con los dems.
Despus de producirse 4 fallos, esta arquitectura continuar funcionando con su nivel
integral de seguridad inicial.
Figura 7.5.8.5 despus de 4 fallos el sistema sigue manteniendo la seguridad funcional.
Por tanto con esta configuracin se trata de un sistema que tolera 4 fallos hardware
HFT=4.
Para ms informacin consultar la pgina web http://www.automation.siemens.com.
Delta V SIS de Emerson:
Figura 7.5.8.6. Arquitectura de un mdulo de control DeltaV SIS redundante.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
161
Se trata de un sistema altamente integrado con el DCS con un nivel de integracin
comn con el DCS DeltaV, utiliza la misma estacin de ingeniera y estaciones de
operacin que el DCS DeltaV. La arquitectura simple ya cumple con SIL 3 y est
certificada por TV, por lo que el equipo redundante no es necesario para aplicaciones con
requerimientos de SIL 3. Los diferentes mdulos se conectan usando una red redundante
de alta velocidad (High Speed SIS net). De la misma forma que el sistema Simatic S7 400
F/FH tiene una tolerancia a fallos elevada, que depende de la configuracin optada.
Constantemente realiza una funcin de supervisin del buen estado de la funcin
instrumentada, desde el instrumento de medida hasta el elemento final. Para mayor
informacin consultar la pgina web www.emersonprocess.com\DeltaVSIS.
Resumen evolucin tecnologa:
Ejemplo. Una compaa determina que para cierta aplicacin con SIL 3 requiere de 2
transmisores certificados segn la norma IEC 61508.
Concepcin tradicional sobre la funcionalidad del lazo indicara que dispare la
funcin de seguridad si se supera el punto de disparo de cualquiera de las 2 lecturas.
(1oo2).
Concepcin moderna sobre la funcionalidad del lazo mejora la disponibilidad y la
seguridad. Dispara la funcin de seguridad cuando una de las lecturas supera el punto de
disparo y la seal de lectura es correcta o cuando el estado de los 2 transmisores es
defectuoso. Nos da una alarma pero no disparo cuando existe un cortocircuito o fallo de un
solo transmisor (1oo2D). Con la concepcin tradicional esto no es posible.
La siguiente tabla presenta el resumen de las arquitecturas que hemos visto y que
suponen una evolucin en los sistemas instrumentados de seguridad.
Tabla 7.5.8.1. Evolucin de la arquitectura
7.5.8.1 HFT segn norma IEC 61511 y IEC 61508
Con la aparicin de los diagnsticos nos surge una variable de seguridad conocida
como la Fraccin de Fallos Seguros (SFF) (eq. 9) que nos indica simplemente el grado de
diagnsticos de un equipo programable. Resume en que a un mayor nivel de diagnsticos,
una menor redundancia ser necesaria para cumplir un SIL objetivo dado.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
162
En el contexto del nivel de integridad de seguridad de los equipos, el nivel SIL
mximo que puede alcanzar un equipo est limitado por la tolerancia a fallos de hardware
y la fraccin de fallos seguros.
Para los revolvedores lgicos programables (PLCs de seguridad normalmente) la
mnima tolerancia al fallo hardware segn IEC 61511 ser el que se muestra en la siguiente
tabla:
Tabla 7.5.8.2. Nivel SIL para los revolvedores lgicos programables PE, relacin arquitectura/seguridad.
Como el SFF es un dato que nos debe dar el fabricante y que precisa de complicados
anlisis FMDEA o bien datos de la experiencia en campo proven in use se recomienda
utilizar sistemas certificados cuyos SFFs han sido determinados en el alcance de la
certificacin.
Para todos los dispositivos de campo como sensores, elementos finales y
revolvedores lgicos no programables la mnima tolerancia al fallo hardware segn IEC
61511 ser el que se muestra en la siguiente tabla:
Tabla 7.5.8.3. Nivel SIL para sensores, elementos finales y revolvedores lgicos no programables, relacin
arquitectura/seguridad
Teniendo en cuenta la diversidad de equipos de campo disponibles, algunos sin
diagnsticos, otros con un alto grado de diagnsticos, la tabla 7.5.8.3 tiene limitaciones
asociadas que son evidentes. Por lo que existe una serie de condiciones por las que el
mnimo HFT debe variar:
Incrementar en uno el mnimo HFT si el modo de fallo dominante no es hacia el
estado seguro o los fallos peligrosos no son detectados.
Reducir en uno el mnimo HFT si el hardware del equipo es seleccionado usando
el criterio de uso previo y el dispositivo permite slo el ajuste de los
parmetros relacionados con el proceso (rango de la medida, deteccin de fallo
por rango alto o rango bajo) y el ajuste est protegido (password) y la funcin
instrumentada tiene un requerimiento de integridad menor a 4.
De cualquier forma la tabla 7.5.8.3 indica que necesidad de redundancia de los
equipos de campo necesitamos para cumplir el SIL meta establecido, nos indica las
limitaciones de la arquitectura.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
163
As como ejemplo, imaginemos que tenemos seleccionada una arquitectura como la
de la figura 7.5.8.7
Figura 7.5.8.7. Ejemplo de evaluacin de arquitectura.
Si determinamos el nivel de integridad hardware de la funcin de seguridad (tablas
7.5.8.2 y 3)
Sensor SIL 1 (sin reduccin)
SPLC SIL 2
Actuador SIL 2 (con reduccin)
La funcin instrumentada de seguridad viene limitada por el sensor y como mximo
podr ser utilizada para SIL 1.
El subsistema con el SIL mnimo determina el SIL de la funcin instrumentada de
seguridad.
Una alternativa a las tablas anteriores son las tablas que presenta la norma IEC 61508
parte 2, seccin 7.4.3, donde el nivel mximo de integridad de seguridad viene dado por la
capacidad de tolerar fallos hardware (HFT) y la fraccin de fallo seguro (SFF) de cada uno
de los subsistemas
1
(Tabla 7.5.8.4), La normativa IEC 61508 diferencia entre dos tipos de
subsistemas:
Subsistema tipo A: Un subsistema puede clasificarse tipo A s, para los
componentes necesarios para lograr la funcin de seguridad:
1. los modos de fallo de todos los componentes que lo constituyen estn bien
definidas, y
2. el comportamiento del subsistema en condiciones de fallo pueden ser
plenamente determinado, y
3. existe suficiente informacin confiable de fallos, proveniente de la
experiencia en campo, para demostrar que se logran tasas de fallos peligrosos
detectadas y no detectadas declarada.
4. En general son sistemas simples donde se conoce el 100% de los fallos
posibles.
Subsistema tipo B: Un subsistema debe ser considerado como de tipo B s, para
los componentes necesarios para lograr la funcin de seguridad
1. el fallo de al menos uno de los componentes no est bien definido, o
1
Podemos considerar que un subsitema comprende un solo componente o un grupo de componentes.
Un sistema E/E/PE completo esta constituido por subsistemas identificables y diferenciables que unidos
realizan la funcin de seguridad considerada. Un subsistema puede estar constituido por diferentes canales.
E/E/PE es una definicin de IEC 61508 que equivale a SIS en IEC 61511.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
164
2. el comportamiento del subsistema en condiciones de fallo no puede ser
plenamente determinado, o
3. no existen datos, obtenidos a travs de la experiencia en campo, plenamente
fiables para apoyar la tasa de fallos detectados o no detectados declarada.
4. En general sistemas ms complejos donde los posibles fallos no son
conocidos al 100%.
Tabla 7.5.8.4. Nivel SIL del subsistema, relacin arquitectura/seguridad. Subsistemas tipo A y B
Al realizar el anlisis de alcance de nivel SIL de un subsistema, entendiendo como
subsistema un conjunto de elementos que realizan una funcin identificable y
diferenciable, cada uno de los elementos del subsistema tendr asociado un valor SFF y un
valor SIL que determinar el valor global del subsistema. As la lectura de una variable por
el PLC de seguridad puede estar compuesta por un sensor, un convertidor de seal, una
barrera separadora, y la tarjeta de entrada al SPLC.
En los sistemas E/E/PE relativos a seguridad, cuya funcin de seguridad se ejecuta a
travs de un canal nico, el nivel SIL mximo que puede alcanzar la funcin de seguridad
tratada ser determinada por el subsistema que cumple los requisitos de nivel de seguridad
ms bajo.
Figura 7.5.8.8. Subsistemas en un canal realizando funcin de seguridad
As podemos analizar los subsistemas desde diferentes variantes. Ejemplo de un
canal de entrada:
Variante 1: Calculando el SFF para todo el canal de entrada, a partir de los datos
dados por el fabricante de los diferentes elementos.
El subsistema 1 est compuesto por el sensor, convertidor, separador, entrada, cada
uno de los elementos dispone de las tasas de fallos dadas por el fabricante (
DD
,
DU
,
SD
,
SU
). Por tanto el SFF calculado del subsistema canal de entrada ser (eq. 9):
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
165
+ + +
+ +
=
DD DU SU SD
DD SU SD
SFF
El problema est en obtener todas las tasas de fallo de los componentes de una
manera fiable y como tratar los componentes con criterio uso previo IEC 61511. Los
componentes certificados por TV ya nos indican directamente el valor de SFF.
Variante 2: Conocidos los valores de SFF y de qu tipo de elementos se trata (A o
B), por la tabla 7.5.8.4 obtener el SIL mximo del subsistema:
Sensor SFF =65 %, tipo A SIL 2
Convertidor SFF =98 %, tipo B SIL 2
Separador SFF =89 %, tipo B SIL 1
Entrada SPLC SIL 3 SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con
respecto a la arquitectura. Para realizar este anlisis bajo la norma IEC 61508 se requieren
todos los datos de SFF y tasa de fallos por parte del fabricante.
Variante 3: Combinacin de las dos anteriores. El sensor se estima por la tabla
7.5.8.3 y las reducciones por el criterio uso previo.
Sensor uso previo reduccin 1 SIL 2 (IEC 61511)
Convertidor SFF =98 %, tipo B SIL 2
Separador SFF =89 %, tipo B SIL 1
Entrada SPLC SIL 3 SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con
respecto a la arquitectura.
Por otro lado s en un sistema E/E/PE relativo a seguridad, la funcin de seguridad se
implementa a travs de mltiples canales de subsistemas el mximo SIL hardware que
puede alcanzar la funcin de seguridad tratada ser determinada por:
Evaluacin de cada subsistema en relacin con los requisitos de la Tabla 7.5.8.4,
y
La agrupacin de los subsistemas y combinaciones, y
El anlisis de estas combinaciones para determinar el nivel de integridad de la
seguridad SIL global del equipo (hardware).
Consideremos el siguiente ejemplo donde la realizacin de la funcin de seguridad se
lleva a cabo por los subsistemas 1, 2, 3 4, 5, 3 tal y como se muestra en la figura 7.5.8.9.
Figura 7.5.8.9. Subsistemas multicanal realizando funcin de seguridad
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
166
Para determinar el nivel integro de seguridad hardware de la funcin de seguridad
realizaremos agrupaciones de subsistemas tal que:
1. Agrupamos subsistemas 1 y 2. Obtenemos un SIL 2. El SIL viene dado por el
subsistema que tiene el nivel integro de seguridad ms bajo en un canal. En este
caso lo determina el subsistema 2.
2. Agrupamos subsistema 4 y 5. Obtenemos un SIL 1. Mismo caso anterior.
3. Si combinamos los subsistemas agrupados 1, 2 y 4, 5 el nivel integro de
seguridad hardware respecto a la tolerancia a fallos hardware se determina
decidiendo que agrupacin alcanza el nivel ms alto (en trminos de nivel de
integridad de seguridad) y que efecto tiene el otro subsistema agrupado en la
tolerancia a fallos hardware, en la nueva agrupacin de subsistema 1, 2, 4, 5. En
este caso el nivel ms alto se encuentra en la agrupacin 1, 2 (SIL 2), s un
evento o fallo ocurre en la agrupacin 1, 2 la funcin de seguridad se sigue
realizando por la agrupacin 4, 5. Este efecto hace que podamos incrementar en
uno el HFT de la agrupacin 1, 2 que hace que incremente en uno el nivel
integro de seguridad hardware de la agrupacin 1, 2 (ver tabla 7.5.8.4). Por tanto
el subsistema agrupado 1, 2, 4, 5 obtiene un SIL 3.
4. El nivel integro de seguridad de la funcin de seguridad completa, subsistema
agrupado 1, 2, 3, 4, 5, respecto a la tolerancia a fallos hardware (HFT) vendr
dada por la combinacin del subsistema 1, 2, 4, 5 y el subsistema 3. Ambos
estn en un canal y por tanto el nivel SIL total vendr determinado por el
subsistema que tenga el nivel integro de seguridad hardware (SIL) ms bajo, en
este caso el subsistema 3, SIL 2. Por tanto podemos decir que el nivel mximo
integro de seguridad respecto a la tolerancia a fallos hardware de la funcin de
seguridad es SIL 2.
Figura 7.5.8.10. Reduccin de arquitectura en el subsistema multicanal ejemplo
Por tanto, la tolerancia a fallos depende de la arquitectura utilizada para realizar la
accin de seguridad.
Como ya se ha ido comentando las grandes empresas u organizaciones para facilitar
el trabajo y estandarizar productos realiza unos estndares propios globales basados en las
normas IEC 61508 y IEC 61511 donde se documentan arquitecturas capaces de alcanzar
los niveles SIL requeridos para la realizacin de la funcin de seguridad en funcin de los
intervalos de prueba de seguridad, tipos de conexiones, interfaces de comunicacin, tipo de
mantenimiento, etc. y en funcin a una lista estndar de equipos que pueden ser utilizados
en sistemas instrumentados de seguridad. Asimismo si por algn motivo no se puede
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
167
realizar la funcin de seguridad segn el estndar de la compaa se indica que
requerimientos, que anlisis, que clculos y que documentacin ha de cumplir los
elementos que salgan del estndar.
Bibliografa y referencias:
[1] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[2] Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[3] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[4] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related
Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998.
[5] Seminario: Functional Safety for the Process Industry. TV SD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
7.5.9 Comunicacin entre el BPCS y el SIS
La comunicacin entre el BPCS y el SIS puede aumentar el conjunto de la seguridad
de la aplicacin. Pero hay que tener en cuenta que comunicaciones externas que puedan
escribir sobre el SIS pueden comprometer la integridad de la seguridad y hay que
asegurarse que esos valores sean vlidos. Por esta razn hay muchas compaas que en sus
estndares no permiten la escritura sobre el SIS. Los estndares de seguridad no prohben
esta comunicacin y la posibilidad de escribir en el SIS.
Es positivo tener la informacin del SIS en nuestras pantallas del DCS, informacin
como estado y lecturas de las I/O, bypass, alarmas, etc. Normalmente esto se hace con una
comunicacin serie desde el SIS al DCS. Actualmente todos los sistemas de seguridad
permiten la comunicacin serie.
Normalmente las plantas tienen sistemas de diferentes suministradores para
seguridad y para control, por lo que han de utilizar un protocolo comn de comunicacin,
el ms utilizado es el protocolo MODBUS. El problema de este protocolo es que lee
registros de memoria con valores y no las etiquetas (tags) de referencia. El utilizar
MODBUS requiere tener una documentacin de los registros de memoria actualizada, ya
que un cambio en la base de datos del SIS puede variar todos los valores de los registros
que estamos leyendo.
En general diremos que.
No habr comunicacin externa del BPCS al SIS. La comunicacin ser
unidireccional del SIS al BPCS, permitindose solo el paso de informacin del
BPCS al SIS en peticiones tipo request, es decir en modo peticin si y solo si la
funcin de seguridad me lo permite.
Se permitir la comunicacin cableada entre componentes comunes del BPCS y
SIS.
El SIS estar protegido contra escritura mediante contrasea.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
168
7.5.10 Fuentes de energa
Las fuentes de energa ms comunes en sistemas de control y en sistemas de
seguridad principalmente son la energa elctrica y neumtica (aire de instrumentacin). La
conexin a tierra tambin se incluye en este apartado.
7.5.10.1 Fuentes de energa elctrica
La fuente de energa elctrica debe ser diseada para cumplir con las necesidades del
SIS tal y como se determina en la especificaciones de los requerimientos de seguridad. La
redundancia en las fuentes de energa elctrica es una prctica comn para mejorar la
fiabilidad del sistema SIS, aunque en muchos casos no es necesaria para lograr el ndice
SIL requerido en los sistemas de seguridad fail safe que desenergizan para el paro. Para
sistemas que energizan para el paro s que suele ser necesaria la aplicacin de redundancia
para conseguir los requerimientos de seguridad fijados.
Existen diferentes mtodos para proveer redundancia de fuentes elctricas, todas
ellas con sus pros y contras para cada aplicacin. Probablemente el ms utilizado sean los
sistemas UPS (Uninterruptible Power Supply), aunque existen otros como la utilizacin de
un backup de bateras o la utilizacin de una lnea elctrica alternativa que
automticamente pasa a suministrar energa en caso de cada de la primera lnea. En todos
los casos la conmutacin a una fuente de energa elctrica en caso de cada de tensin debe
cumplir unos requerimientos mnimos:
Deteccin de fallos previo a afectar al SIS.
Transferencia a la fuente secundara sin afectar a la operacin del SIS.
Capacidad de mantener las bateras o el sistema UPS sin afectar al SIS.
Minimizar fallos de causa comn.
Adicionalmente las unidades de energa deben contar con indicadores del estado en
que se encuentran las bateras o el estado de operacin del sistema UPS, as como de un
sistema de alarmas y diagnsticos que nos indiquen entre otras cosas el estado de
operacin del sistema redundante y que evite poner en funcionamiento el sistema SIS sin
todas las fuentes de energa disponibles.
Los PLCs incluyen fuentes de alimentacin que reducen y estabilizan el voltaje del
suministro elctrico, en estos casos ha de considerarse la redundancia en el suministro de
energa para cumplir con los requerimientos de fiabilidad de la aplicacin SIS. Los
sistemas electrnicos son sensibles al ruido elctrico por lo que un buen blindaje, unas
buenas prcticas en el cableado y una conexin apropiada a tierra, garantizar el buen
funcionamiento.
Las entradas y salidas del PLC deben tener distribucin separadas de energa para
minimizar el fallo de causa comn en caso de fallo en el cableado.
Los puntos a considerar en el suministro de corriente alterna son:
Rango de voltaje y corriente, incluyendo sobrecorriente transitoria.
Rango de frecuencia nominal.
Armnicos.
Cargas no lineales.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
169
Tiempo de transferencia.
Proteccin por sobrecarga y cortocircuito.
Proteccin contra descargas atmosfricas.
Proteccin contra transitorios como ruidos y picos de tensin.
7.5.10.2 Conexin a tierra
Es preciso una adecuada conexin a tierra para el correcto funcionamiento y
proteccin de la instalacin, sobre todo para equipos electrnicos como los PLCs. La
conexin a tierra es uno de los puntos ms crticos en sistemas electrnicos, ms que para
los equipos elctricos (motores, etc.).
La conexin a tierra debe seguir las recomendaciones del fabricante, cualquier
variacin debe ser considerada y analizada, ya que no todos los sistemas con la misma
tierra se comportaran de la misma forma.
Los puntos a considerar en la conexin a tierra son:
Proteccin por corrosin.
Proteccin catdica.
Proteccin contra descargas atmosfricas.
Proteccin contra electricidad esttica.
Pruebas de conexin a tierra.
Barreras de seguridad intrnseca de conexin a tierra.
Fiabilidad de los terminales de conexin a tierra.
7.5.10.3 Fuentes de energa neumtica
La fuente de energa neumtica ms utilizada es el aire de instrumentacin (aire seco
y filtrado), aunque bien pueden utilizarse otros gases como nitrgeno. Principalmente se
usa para vlvulas de control, vlvulas todo/nada y en diferentes tipos de analizadores. El
aire de instrumentacin debe ser filtrado, secado y continuamente monitoreado para
asegurar que mantenga una presin apropiada. De la misma manera que las fuentes de
energa elctrica deben de disponer de un sistema redundante que asegure el suministro y
haga cumplir los requerimientos de confiabilidad.
Debe existir un sistema de alarmas que nos indique que se detecta una baja/alta
presin que podra o bien parar el proceso o bien daar equipos que se alimentan de este
aire. Asimismo debe haber sealizacin que nos indique que ha entrado el equipo de
reserva.
Los puntos a considerar para el suministro de aire de instrumentacin son:
Presin de trabajo.
Humedad permitida. Punto de roco.
Tamao de partcula aceptable.
Volumen necesario de suministro.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
170
7.5.11 Interfaces
Aunque existen varios modos de interfaces en Sistemas Instrumentados de
Seguridad, los principales interfaces se encuentran como Interfaz Hombre-Mquina (HMI)
e interfaces de comunicacin. Podemos distinguir dos tipos de interfaces hombre-mquina:
Interfaces de operador.
Interfaces de mantenimiento/ingeniera.
7.5.11.1 Interfaces de operador
Las interfaces con el operador sirven para comunicar informacin al operador como
una accin de paro a tomar, diagnsticos del sistema, diagnsticos del sensor, diagnsticos
del elemento final, estado de la lgica, prdida de energa que afecte a la seguridad, bypass
actuales, etc. Existen mltiples equipos que pueden ser utilizados como interfaces de
operador: alarmas, botoneras, luces pilotos, paneles informativos, sistemas SCADA, etc.
Sin embargo es muy importante que la operacin del sistema instrumentado de seguridad
no dependa de la interfaz, ya que puede no estar siempre disponible o en funcionamiento
Para cada mensaje
1
que se quiera mostrar al operador es una buena prctica contestar
a las siguientes preguntas qua han de quedar reflejadas en la especificacin de requisitos de
cada tem a mostrar:
1. Qu eventos son la causa de visualizar este mensaje?
2. El mensaje mostrado puede y debe ser actualizado, y si es as bajo qu criterio
(p. ej. tiempo, acciones tomadas, etc.)?
3. Qu acciones causarn la desaparicin del mensaje?
El no realizar un anlisis claro de las situaciones que el operador debe conocer del
sistema pueden resultar en unas especificaciones incompletas y por tanto una fuente de
riesgo.
Es importante dar slo aquella informacin que es relevante a los operadores, y no
sobrecargarlos de alarmas y mensajes hasta el punto de que no sean capaces de reaccionar
ante una de ellas. La asociacin EMMUA
2
en 1999 emiti la publicacin 191 sobre la
gestin de sistemas de alarmas mundialmente aceptada y desarrollada por los usuarios de
los sistemas de alarma en la industria. Un buen diseo del sistema, un buen entrenamiento
de los operadores y una buena gerencia de las alarmas har que se reduzca
considerablemente el riesgo de tomar una accin equivocada ante un evento o el pasar por
alto un evento que est sucediendo por estar en un estado de sobrecarga de mensajes.
1
Como mensaje entendemos, alarmas, eventos, alertas, situaciones, informacin que se quiere dar al
operador del estado del Sistema Instrumentado de Seguridad.
2
EEMUA (The Engineering and Equipment Materials Users Association Asociacin de Usuarios
de Materiales y Equipos de Ingeniera) emiti la publicacin 191 sobre la gestin de sistemas de alarmas.
La OSHA (Occupational Safety and Health Administration La Administracin de Seguridad y Salud
Ocupacional de los Estados Unidos) ha emitido ciertos requerimientos para los sistemas de alarmas en el
estndar CFR 29 regulacin 1910.119, Gestin de Seguridad de Procesos con Materiales Qumicos
Altamente Peligrosos.
ANSI/ISA-18.2-2009 Management of Alarm Systems for the Process Industries.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
171
La interfaz con el operador es importante, pero no debe ser crtica para el correcto
funcionamiento del sistema. Desde la interfaz del operador no debe ser posible modificar el
sistema de seguridad. Si por diseo se requiere el uso de acciones del operador, el diseo
incluir sistemas de seguridad de proteccin contra errores del operador.
Cualquier accin tomada por el operador deber ser confirmada.
Acciones tpicas que el operador puede hacer son los bypass de seales para realizar
mantenimiento. Estas acciones estarn protegidas con contraseas para evitar ser realizadas
por personal no autorizado. Normalmente este tipo de acciones son realizadas por el
personal de mantenimiento de instrumentacin que es quien suele realizar las pruebas de
seguridad de los lazos de seguridad en el periodo marcado en las especificaciones de los
requerimientos de seguridad.
La informacin que debera ser monitoreada y a la que debe tener acceso el operador
es la que permite saber el estado en que se encuentra el sistema instrumentado de seguridad
y que es crtica para que se mantenga el SIL requerido. Esta informacin debe incluir:
La secuencia del proceso.
Indicacin de activacin de la funcin de seguridad del SIS.
Indicacin de las funciones de seguridad bypaseadas.
Indicacin automtica de degradacin del voto de una funcin.
El estado de los sensores y elementos finales de control.
La prdida de energa cuando esta afecta a la seguridad.
Fallos de equipos que son necesarios para el correcto funcionamiento del SIS.
Los resultados de los diagnsticos.
Histricos de alarmas y secuencia de eventos (suele venir como software de
servicios del PLC de seguridad y se recomienda que sea utilizado por personal
autorizado y de mantenimiento).
Las interfaces de operador tpicas para comunicar informacin entre el sistema de
seguridad y el operador son:
Paneles de control que contienen lmparas, botoneras, indicadores e
interruptores.
Monitores de visualizacin.
Alarmas sonoras y visibles.
Impresoras.
El propio BPCS como interfaz, si esta comunicado con el SIS.
Los monitores de visualizacin pueden compartir seales de alarma del sistema de
control y del sistema de seguridad teniendo en cuenta que los datos visualizados deben ser
actualizados y refrescados en el tiempo requerido y especificado, y deben estar claramente
identificados para evitar la confusin al operador de una situacin de emergencia indicada
por el SIS o por alarmas del sistema de control (BPCS).
Los mensajes y alarmas deben ser claros y concisos y deben tener una jerarqua para
diferenciar aquellos que son crticos critical de los no crticas como los de alerta
warning o las que avisan de alguna mal funcin del equipo advisory, se diferencian
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
172
por su sonido y su color normalmente y sern visibles en modo intermitente hasta que se
reconozcan y una vez reconocidos y hasta que se solucione el problema en modo continuo
(recomendacin EEMUA publicacin 191 Alarm Management).
7.5.11.2 Interfaces de ingeniera y mantenimiento
La interfaz de ingeniera y mantenimiento permite realizar el mantenimiento
adecuado del SIS y modificaciones de ingeniera que se soliciten y aprueben, de una
manera clara y sencilla.
El interfaz de ingeniera y mantenimiento se disear de forma que asegure que
cualquier fallo de esta interfaz no afecte negativamente la capacidad de accin del sistema
de seguridad. Estas interfaces son los medios para programar, probar y mantener el SIS. Se
tratan de dispositivos que se usan para las funciones siguientes:
Configuracin hardware del sistema.
Desarrollo del software de aplicaciones, documentacin, y descargas al PLC de
seguridad del software del sistema de seguridad.
Acceso al software de aplicacin para cambios, pruebas y monitoreo (bypass de
equipos, calibracin de equipos, etc.).
Visualizacin de los recursos del sistema de seguridad y de los diagnsticos.
Cambio de los niveles de seguridad del sistema de seguridad y acceso a las
variables del software de aplicacin.
Ejecucin de bypass para realizacin de mantenimiento.
Solo personal autorizado ser quien haga uso de las interfaces de ingeniera y
mantenimiento y nunca ser utilizado como una interfaz de operacin.
7.5.11.3 Interfaz de comunicacin
El interfaz de comunicacin es un conjunto de lneas hardware que permiten la
transferencia de datos entre diferentes componentes de un sistema o entre sistemas. El
protocolo de comunicacin estndar ms utilizado para este tipo de aplicaciones es el
protocolo de comunicacin MODBUS.
El diseo interfaz de comunicacin con el SIS debe asegurar que ante cualquier fallo
en la comunicacin no afectar a la disponibilidad del SIS.
El SIS debe ser capaz de comunicar con el BPCS y otros sistemas (control de
compresores (CCC control), sistemas de monitoreo y proteccin de mquinas rotativas (p.
ej. Bently Nevada System), etc.) sin que afecten al funcionamiento correcto del SIS.
La interfaz de comunicacin debe ser suficientemente robusta contra las
interferencias electromagnticas, incluyendo las sobrecargas de tensin sin causar un fallo
peligroso de la SIF, asimismo debe ser adecuado para la comunicacin de dispositivos con
diferentes referencias de tensiones de tierra.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
173
[3] Artculo: Gestin de Alarmas: Un punto clave en la planificacin de la seguridad, Ignacio Queirolo,
Repsol YPF. Publicado en la revista Petrotecnia (feb 2011). (www.petrotecnia.com).
[4] The Alarm Management Handbook 2
nd
Edition. Hill Hollifield and Eddie Habibi, published by PAS,
(2010).
7.5.12 Mantenimiento y pruebas funcionales
Las pruebas funcionales han de realizarse con el fin de verificar la correcta operacin
del sistema instrumentado de seguridad y asegurar que el SIL meta objetivo se sigue
cumpliendo. Las pruebas funcionales del lazo de seguridad deben ser vistas como una
actividad de mantenimiento preventivo con el fin de detectar posibles fallos en el correcto
funcionamiento del sistema de seguridad y que no se han detectado por diagnsticos en
operacin normal.
Segn la norma ANSI/ISA-84.00.01-2004 y la norma IEC 61511 parte 1, el diseo
del sistema de seguridad debe permitir la realizacin de pruebas de los lazos de seguridad y
componentes del SIS ya sea en lazo completo, desde la conexin del sensor al proceso
hasta la conexin del actuador final (sensores, SPLCs, elementos finales y alarmas
asociadas) o bien por partes o segmentos diferenciados. Cuando el intervalo de tiempo
entre inactividad del proceso programado, es decir el tiempo entre paradas programadas,
sea mayor que el intervalo de tiempo entre pruebas especificado para alcanzar el SIL
requerido, se requerir incluir en el diseo procedimientos y utilidades de pruebas y tests
en lnea, con la planta en funcionamiento.
El diseo e ingeniera del SIS debe realizarse de acuerdo a los requisitos de
mantenimiento y pruebas definidos en las especificaciones de los requisitos de seguridad.
Recordemos que el intervalo de prueba de las funciones de seguridad es un punto
importante a la hora de alcanzar un SIL meta propuesto.
Preguntas importantes que se suelen realizar son:
1. Cmo se realizar el test del sistema?
2. Qu partes de la funcin de seguridad se bypasear y si se realizar la prueba
manualmente?
3. Existe algn mtodo de prueba automtica que pueda implementarse en el
sistema?
Una buena prctica en el diseo de SIS es tomar como referencia un intervalo de test
anual (el periodo mximo de test no debe exceder los cinco aos), este es el periodo
comnmente ms utilizado, y es el intervalo que se marca como estndar a la hora de
escoger una arquitectura que cumpla con el SIL meta especificado.
Debe existir cierta racionalidad entre los requerimientos que se piden y cmo ser la
instalacin final. Puede darse el caso que la instalacin final tenga dispositivos de difcil
acceso, o bien que el diseador especifique poner un dispositivo en vlvulas que realicen la
pruebe de recorrido parcial (PST). En el primer caso, el personal de mantenimiento no
puede realizar adecuadamente las pruebas y en el segundo, el personal de operacin puede
estar preocupado de posibles paros molestos que pueda ocasionar la carrera parcial. Por lo
que es recomendable incluir tcnicos de mantenimiento y operacin durante la revisin del
diseo del sistema que puedan aportar soluciones a problemas potenciales de diseo.
Es muy importante involucrar y concienciar al personal de mantenimiento y
operacin de la importancia de estas pruebas peridicas, ya que en muchas ocasiones no es
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
174
extrao encontrar sistemas de seguridad que nunca han sido chequeados y cuando estos
son probados se encuentran fallos peligrosos que conducen a la inactividad de la funcin
de seguridad para la que fue diseada, sobre todo en elementos de campo.
Figura 7.5.12.1 Porcentaje de fallos de los elementos principales de un sistema de seguridad.
Fuente: Offshore Reliability Database (OREDA)
Para ello es preciso establecer un sistema de mantenimiento que incluya
procedimientos escritos de pruebas claros y ejecutables, sobre todo cuando la planta est en
marcha, y personal bien estrenado con un buen conocimiento de los equipos, proceso y
sistema que sea capaz de coordinar y ejecutar las pruebas eficazmente con el fin de
asegurar la integridad del sistema de seguridad y evitar realizar paros no deseados e
innecesarios que pueden producir prdidas de produccin y crear situaciones de riesgo.
No todos los componentes de un lazo de seguridad pueden ser testeados en
funcionamiento, por ejemplo compresores, bombas e incluso algunas vlvulas, por lo que
estos equipos deben ser diseados con la caracterstica fail-safe, con diagnsticos y
redundancia para que solo requieran una frecuencia de test igual al periodo de
funcionamiento entre paradas por mantenimiento de planta, en relacin al elemento final.
Para probar el resto de elementos del lazo, sensores y la lgica de actuacin de la funcin
de seguridad, se ha de proponer una serie de bypass que aseguren el funcionamiento del
elemento final.
La utilizacin de bypass cuando estos sean necesarios se realizaran de manera que el
operador en todo momento sepa que algn elemento del sistema de seguridad esta
bypaseado, normalmente va alarma en el sistema de control o por procedimientos. El
bypass est limitado a un periodo de tiempo, normalmente 8 horas (un turno), pasado este
tiempo el bypass se anular automticamente. Las especificaciones de los requerimientos
de seguridad (SRS) definen que tipo y como se puede bypasear una seal o un elemento
del lazo de seguridad (captulo 7.4).
Por qu es necesario y es motivo de auditoras de seguridad las pruebas de lazo de
seguridad?
Veamos un ejemplo:
Figura 7.5.12.1 SIF por alta presin
Supongamos un lazo de seguridad compuesto por un transmisor de presin, una
entrada analgica y una salida discreta en el SPLC y una vlvula ON/OFF como se
muestra en la figura 7.5.12.1. No existe redundancia ni diagnsticos automticos.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
175
La probabilidad de fallo en demanda del lazo de seguridad y de forma resumida ser:
) 2 / (TI d PFDavg = (1)
Donde:
d =tasa de fallo peligroso de todo el sistema (sensor, SPLC y vlvula).
TI = intervalo de test.
Vemos que el intervalo de test es un factor importante en la seguridad de un sistema,
en teora si el sistema nunca es probado la probabilidad de que el sistema falle a una
demanda es muy alta, se puede decir que del 100%. La ecuacin (1) es una aproximacin y
no asume los diagnsticos automticos y asume la efectividad del 100% del test manual.
La siguiente ecuacin (2) permite el clculo cuando la efectividad del test no es del
100% y algunos fallos pueden no ser identificados en las pruebas.
( ) ( ) ( )
2
2
1
2
1 TI
d DC
TI
d DC PFDavg + = (2)
Donde:
DC =Factor de cobertura de diagnstico (0 100%) (Eficacia del test).
TI1 =Intervalo del test.
TI2 =Intervalo cuando el sistema realiza el test completo del sistema, o es
remplazado, o puede ser el tiempo de vida de la planta si el sistema no se prueba
completamente o se cambia.
As, s la vlvula ON/OFF tiene un d de 0.025 fallos por ao (MTTF =40 aos), un
test peridico anual garantiza una efectividad del 95% (detecta el 95% de fallos) y la
vlvula cada 10 aos es cambiada. Qu PFDavg tendr la vlvula durante los 10 aos de
operacin si:
1) La vlvula se prueba cada ao y se cambia cada 10 aos.
2) La vlvula no se testea pero se cambia cada 10 aos.
Caso 1)
De la eq. (2) PFDavg =(0.95 * 0.025 * (1 ao/2)) +(0.05 * 0.025 * (10 aos/2) ;
PFDavg =0.018 -> SIL 1
Caso 2)
De la eq. (2) PFDavg =(0 * 0.025 * (0 ao/2)) +(1* 0.025 * (10 aos/2) ;
PFDavg =0.125 -> SIL 0
Se trata de una ecuacin aproximada y tiene poco error siempre que el tiempo medio
de fallo sea significativamente mayor que el intervalo de test (MTTF >> TI1).
Como vemos es necesario que en el diseo se establezcan las frecuencias y los
procedimientos necesarios para realizar las pruebas de los lazos de seguridad. Cada lazo de
seguridad (SIF) deber tener su propio procedimiento de manera que podamos descubrir
los fallos peligrosos no detectados por diagnsticos. En cada procedimiento se describirn
los pasos a seguir para realizar el test de seguridad de forma segura y que evite paros en
falso de la planta, asimismo la hoja de prueba de lazo ha de incluir (IEC 61511 parte1):
El funcionamiento correcto de cada sensor y elemento final.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
176
El funcionamiento correcto de la accin lgica.
El funcionamiento correcto de los indicadores y alarmas.
Adicionalmente al test, es una buena prctica realizar inspecciones visuales de los
elementos de cada funcin de seguridad con regularidad con el fin de evitar deterioro en
los elementos del lazo y de la instalacin (deterioro en la sujecin o protecciones de los
elementos de campo, deterioro de cables y tubings, traceados elctricos rotos, etc).
7.5.12.1 Como establecer la frecuencia del test
No hay reglas fijas para determinar los intervalos de prueba.
Algunas compaas establecen estndares donde se estipulan intervalos de test de un
ao y realizados por personal debidamente entrenado. La frecuencia de test es una variable
para cada sistema que depende de la tecnologa, arquitectura, redundancia y SIL objetivo a
alcanzar y disponibilidad de realizacin de las pruebas de seguridad.
Existen programas que determinan el intervalo ptimo de una manera cuantitativa (p.
ej. EXSILENTIA (paquete SILVER) de Exida). A partir de los resultados obtenidos
muchas ingenieras incrementan o decrementan la redundancia para obtener el SIL objetivo
requerido en funcin del intervalo de test.
La frecuencia de test se puede determinar usando los clculos de la PFDavg (eq. 2
aproximada). No todos los elementos del mismo lazo requieren el mismo intervalo de test
para conseguir el SIL especificado para el lazo de seguridad, en general elementos finales
como vlvulas requieren ms frecuencia de test que los PLCs de seguridad.
La duracin del test en lnea tiene un impacto sobre el PFD del sistema, ya que
cuando se realiza un test de seguridad hay parte del sistema que debe ser bypaseado.
Durante el test un sistema 1oo1 quedar fuera de lnea y su disponibilidad durante el test
ser cero. Un sistema 1oo2 o 2oo3 no pierde totalmente su funcin de seguridad. Un
sistema 1oo2 pasa a ser un sistema 1oo1 y un 2oo3 se reduce a 1oo2. Cuantitativamente
este efecto puede ser calculado (mtodo de Markov). A continuacin se muestran las
ecuaciones que cuantifican este impacto y que puede ser aadido a los clculos de los
PFDavg
1
de cada arquitectura (ver captulo 7.5.8). Se trata de ecuaciones aproximadas. Son
trminos que se suelen considerar despreciables si la duracin de la prueba es menor a 8
horas.
1oo1; Ti Td (3)
1oo2; ( ) ( ) ( ) Ti MTTR Ti d Td / 2 * * * 2 + (4)
2oo2; ( ) Ti Td * 2 (5)
2oo3; ( ) ( ) ( ) Ti MTTR Ti d Td / 2 * * * 6 + (6)
Donde:
Td =duracin de test
Ti =intervalo de test
1
( )dt t PFD
T
PDFavg
=
1
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
177
7.5.12.2 Documentacin
Todas las operaciones, pruebas, y procedimientos de mantenimiento deben estar
completamente documentados y puestos a disposicin del personal. Como se ha comentado
anteriormente es una buena prctica que todas las partes, ingeniera, produccin y
mantenimiento estn involucrados en el desarrollo de los procedimientos de las pruebas de
seguridad con el fin de que todas las partes conozcan y entiendan los procedimientos.
Todos los tests realizados se deben guardar en formato de papel. El usuario debe
mantener registros que verifican que los tests y las inspecciones han sido realizadas como
se requiere en el procedimiento. Esta documentacin puede ser requerida y auditada por
una persona, grupo u organismo independiente con posterioridad. Normalmente todas las
empresas estn sometidas a auditoras internas propias y a auditorias de seguridad externas
realizadas por organismos independientes. El no cumplir con los procedimientos
requeridos se considera una falta grave que ha de ser resuelta en la mayor brevedad
posible.
Los registros de las pruebas de seguridad como mnimo han de incluir:
1) Sistema probado (tag, nmero de equipo, nmero de lazo, )
2) Intervalo de test.
3) Descripcin de los test e inspecciones realizadas.
4) Fecha de la realizacin de la prueba e inspeccin.
5) Nombre de la persona que realiza la prueba.
6) Resultados de la prueba e inspeccin.
El comit ISA SP84 ha editado anexo tcnico sobre test de sistemas de seguridad.
ISA-TR84.00.03-2002 se trata de una gua para pruebas de funciones instrumentadas de
seguridad implementadas en SIS.
(ANEXO N: Pruebas de Lazos de Seguridad)
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
7.5.13 Cableado de los elementos de campo
El cableado y conexiones de los elementos de campo (instrumentos y equipos) deben
cumplir con los requisitostos del fabricante, los requisitos de seguridad especificados en las
SRS y con la normativa vigente en cada pas (REBT, Reglamento Electrotcnico de Baja
Tensin en el caso de Espaa y normativa ATEX, utilizacin de equipos para Atmsferas
Potencialmente Explosivas). Cualquier solucin adoptada que no se encuentre en las
normativas vigentes ha de ser analizada y ha de ser objeto de un anlisis de seguridad.
Los fallos ms tpicos en el cableado son:
Circuitos abiertos y/o en cortocircuito.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
178
Problemas de tierra.
Inducciones electromagnticas, ruido elctrico.
A continuacin se resumen unas buenas prcticas que nos pueden ayudar a
minimizar problemas con el cableado:
Eliminar circuitos comunes. Cada equipo de campo tendr su propio y dedicado
cableado. Slo es posible utilizar un cableado comn en el caso de un bus de
campo (ej. profisafe de SIEMENS), siempre que cumpla con las especificaciones
requeridas de seguridad.
Cada entrada y salida de campo deben tener fusibles o limitadores de corriente,
que pueden ser parte de la lgica de los mdulos de entrada y salida del sistema o
usando fusibles externos.
Separar el cableado y cajas de conexin del sistema de seguridad de los dems
sistemas de control de la planta, asimismo etiquetar claramente los cables del
sistema de seguridad.
Se ha de tener en cuenta la inductancia, capacitancia y longitud de los cables.
Dependiendo de la seccin y la distancia se pueden producir inducciones que
impidan la actuacin de las entradas y salidas del sistema de seguridad por cada
de tensin.
En general los cables por bandeja debern llevar cubiertas metlicas o ser cables
armados para protegerse mecnicamente. Estas bandejas o cables armados deben
estar conectados a tierra al inicio y final y dependiendo de la distancia en puntos
intermedios con el fin de proteger las cables de interferencias electromagnticas y
proteccin contra rayos.
Aislar la tierra de los sistemas entre ellos y separar galvnicamente los elementos
comunes.
Disear los armarios de conexiones y cableado de manera que minimicen el ruido
elctrico y la alta temperatura.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
7.5.14 Consideraciones ambientales
Es importante especificar qu requisitos ambientales necesitamos para nuestro
sistema de seguridad. Es importante especificar qu ambiente, entorno es necesario para
garantizar el correcto funcionamiento del SIS. Cuando se disea el sistema se ha de
considerar el efecto de variables como la temperatura, la humedad, los agentes
contaminantes, la vibracin, las interferencias electromagnticas y de radiofrecuencia
(EMI/RFI), las descargas electroestticas, la clasificacin elctrica del rea (normativa
ATEX Directriz de clasificacin de las reas segn Atmsferas Explosivas), etc.
En el diseo del SIS se debern adoptar soluciones concretas para resolver
diferencias entre las condiciones ambientales a las que estar sometido nuestro SIS y
condiciones especificadas por cada equipo que pertenece al SIS de manera que permita al
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
179
sistema funcionar en conformidad con lo especificado en las especificaciones de los
requerimientos de seguridad (SRS). Medidas como la instalacin de calefaccin, aire
acondicionado, ventiladores, filtros de aire, calorifugados, traceados elctricos, etc.
Comentar que un incremento de temperatura de 10C sobre la temperatura
especificada por el fabricante en un equipo electrnico disminuye su vida en
aproximadamente un 50%. Es muy importante tener bien reguladas variables como
temperatura y humedad en los armarios de instrumentacin para que los equipos funcionen
en los rangos de medida especificados por el fabricante.
7.5.15 Fallos de causa comn
Los posibles tipos de fallos que nos encontramos en un sistema se agrupan en 2
categoras:
1) Fallos fsicos.
a. Fallos independientes.
b. Fallos de causa comn.
2) Fallos sistemticos (captulo 7.5.16).
Un fallo se clasifica como fsico cuando algn estrs fsico excede la capacidad de
los elementos instalados. Un fallo sistemtico ocurre cuando el sistema, aunque est
funcionando, no es capaz de realizar la funcin especificada debido a errores de diseo o
instalacin.
Fallo de causa comn puede ser debido a diferentes situaciones. Puede producirse
por un estrs (figura 7.5.15.2) que produce un fallo en varios elementos o en una parte del
sistema y hace que sistemas redundantes fallen. Como fuentes de estrs tenemos
temperatura, humedad, corrosin, vibracin, interferencias electromagnticas, entre otras.
Asimismo un fallo en un elemento no redundante puede causar un fallo de causa comn,
por ejemplo podemos encontrar un controlador triplicado alimentado por una nica fuente
de alimentacin, el fallo de esta fuente hace que caigan los tres controladores. Un fallo de
causa comn puede resultar de un fallo sistemtico (p. ej. de diseo) que afecte a
elementos redundantes (figura 7.5.15.1).
Figura 7.5.15.1 Relacin de fallos de causa comn y los fallos sistemticos de canales individuales.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
180
Figura 7.5.15.2 Fallos de causa comn producidos por estrs.
El efecto del estrs hace que la tasa esperada de fallos () del sistema aumente y en
muchos clculos que no se ha considerado el efecto de los fallos de causa comn la
confiabilidad del sistema no alcance los valores estimados.
cc nte independie + = (1)
Una forma de indicar el factor de influencia del estrs en los componentes idnticos
es el factor beta ( ). El factor beta representa la fraccin de la tasa de fallo en donde 2
ms fallos ocurrirn debido a un mismo estrs comn.
cc
= (2) = cc (3)
Indicar que el modelo del factor es un modelo emprico, no es un modelo real sino
que se trata de una estimacin de la realidad.
La norma IEC 61508 parte 6
1
indica valores estimados de factor para diferentes
equipos de lo que podemos extraer:
05 , 0 005 , 0 = en equipos electrnicos programables.
1 , 0 01 , 0 = en equipos de campo.
El anexo tcnico ISA-TR84.00.02-2002 parte 1 emitido por el comit ISA SP84, en
su anexo A, nos da una metodologa para la obtencin emprica de los valores de las
funciones instrumentadas de seguridad.
Para disminuir los fallos de causa comn las prcticas recomendadas ms efectivas
son:
Separacin fsica: unidades redundantes tienen menos probabilidad de recibir el
mismo estrs. Se trata de separar equipos.
Tecnologa diversa: unidades redundantes responden diferente a un estrs comn.
Se trata de utilizar equipos diferentes.
Si controladores redundantes son alojados en diferentes paneles, armarios, y a la vez
estos armarios en diferentes salas de instrumentacin un fallo de causa comn ser poco
probable. Si usamos dos diferentes transmisores de caudal, de dos diferentes fabricantes y
basados en diferentes tecnologas de medida ser prcticamente improbable que tengan un
problema de fallo por una causa comn.
1
Referencia a la normativa IEC 61508 parte 6 para obtener ms informacin sobre diferentes valores
de , procedentes de estudios empricos.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
181
Un problema de causa comn tpico es la conexin de mltiples sensores en la
misma toma de proceso. Aunque parece obvio es un problema que pasa e inevitablemente
pasar.
El uso de redundancia es til para reducir fallos debido a fallos hardwares aleatorios,
pero no lo es contra fallos de diseo u otros fallos sistemticos. Los fallos sistemticos o
fallos funcionales se suelen confundir y categorizar como fallos de causa comn, no es lo
mismo aunque un fallo sistemtico que afecta a un sistema multicanal pasa a ser un fallo de
causa comn. Un ejemplo de error sistemtico seria el que padecera un diseo de un
sistema de vlvulas de bloqueo y purga trabajando a muy bajas temperaturas, pero no
diseadas para las temperaturas de trabajo, como resultado se bloquean y no operan
correctamente a bajas temperaturas. Se trata de un fallo sistemtico debido a un error de
diseo.
Veamos la influencia del fallo de causa comn en la probabilidad de fallo en
demanda de un sistema 1oo2. Incluimos la causa comn en un rbol de fallos:
Figura 7.5.15.1 Inclusin causa comn en un rbol de fallos
S ao fallos
D
/ 02 . 0 = ; Ti =1 ao; 05 . 0 =
En un sistema 1oo2:
Si PFD para cada componente: Ti PFD
D oo
*
1 1
= (4)
En un sistema 1oo2:
2 2
2 1
*Ti PFD
D oo
= (5)
Por tanto
1
: ( ) 3 /
2 2
2 1
TI PFDavg
D oo
= (6)
000133 . 0
2 1
=
oo
PFDavg
En un sistema 1oo2 con causa comn:
El PFDavg del sistema:
cc oo cc oo
PFDavg PFDavg PFDavg + =
2 1 ) ( 2 1
(7)
PFDavg causa comn: ( ) 2 / TI cc PFDavg
cc
= (8)
Por tanto:
2 3
2 2
) ( 2 1
Ti cc Ti
PFDavg
D
cc oo
=
(9)
000633 . 0
) ( 2 1
=
cc oo
PFDavg
1
( )dt t PFD
T
PDFavg
=
1
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
182
Bibliografa y referencias:
[1] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[2] ISA-TRS84.00.02-2002-Part1, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL).
Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
7.5.16 Fallos sistemticos
Los fallos sistemticos son fallos que ocurren cuando los elementos fsicos de una
funcin instrumentada de seguridad, aunque estn en operacin no son capaces de realizar
su funcin de seguridad especificada debido a errores de diseo o comisin.
Los fallos de causa comn pueden ser resultado de un fallo sistemtico, normalmente
fallos debido a errores en el diseo o errores en procedimientos de operacin y/o
mantenimiento.
Los fallos sistemticos principalmente se deben a errores de diseo e implementacin
o comisionado y entre las posibles causas encontramos:
1) Errores de diseo de la SIF.
Errores en la especificacin de la lgica de la funcin de seguridad, seleccin
incorrecta de los componentes y errores en el diseo de la interfaz entre el elemento de
control (E/E/PES) y los sensores y actuadores. La redundancia no resuelve este tipo de
fallos.
2) Errores en la implementacin de componentes (hardware).
Son errores en la instalacin, configuracin (calibracin, puntos de disparo, etc.) y
puesta en marcha del SIS que no son detectados durante las pruebas funcionales del SIS.
Ejemplos de este tipo de errores:
a. Errores de cableado y alimentacin de aire.
b. Fuente de alimentacin elctrica/neumtica inadecuada.
c. Bloqueo de las conexiones al proceso o mala conexin al proceso.
d. Instalacin de sensores o elementos finales de control errneos.
3) Errores de programacin.
Errores en el programa de aplicacin, diagnsticos, rutinas de interfaz de usuario
(sistemas de visualizacin, etc.).
4) Errores de interaccin humana.
Son errores producidos en la operacin de la interfaz hombre-mquina de la SIF,
errores producidos en las pruebas funcionales de la SIF y durante la reparacin de
componentes de la SIF.
5) Errores de diseo de componentes hardware.
Errores en el diseo del fabricante o en la construccin de los componentes
seleccionados de la SIF que impiden una adecuada funcionalidad. Ejemplos de este tipo de
errores:
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
183
a. Cumplir con las condiciones de proceso especificadas (presin,
temperatura, etc.).
b. Correcto funcionamiento en el entorno de la instalacin (vibracin,
condiciones ambientales, etc.).
c. Seleccin incorrecta del tipo de componentes.
La mejor manera de evitar los errores sistemticos esta en realizar unas correctas
especificaciones del diseo, revisiones de este y unas pruebas exhaustivas de
funcionamiento (FAT, SIT y SAT), ya que como se ha comentado el encontrar los errores
sistemticos es difcil y solo cuando ocurre una situacin de riesgo es cuando se puede
analizar por qu y encontrar estos posibles errores.
Bibliografa y referencias:
[1] ISA-TRS84.00.02-2002-Part1, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL).
Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.
7.5.17 Revisin de seguridad de diseo e ingeniera
Una vez realizado el diseo del SIS, se ha desarrollado la aplicacin software y se ha
verificado que las funciones de seguridad alcanzan el valor SIL objetivo requerido (ver
captulo 7.6 Verificacin SIL de una SIF) se recomienda realizar una revisin del diseo,
se trata del PASO 3 Safety review del ciclo de vida de seguridad ejemplo (ver figura
Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo. Captulo 7.1) o de la ETAPA 2,
despus de realizar las Pruebas de Aceptacin en Fbrica (FAT) (Captulo 7.7) segn la
IEC 61511 (tabla 6.2.2.1 Implementacin de las actividades de valoracin y revisin
durante el ciclo de vida. Captulo 6.2.2).
En esta revisin se chequearn lo siguientes tpicos:
El hardware a instalar es adecuado para la instalacin y el cableado es correcto.
Todos los parmetros de seguridad estn establecidos segn sea necesario.
Los requerimientos de cada funcin estn correctamente implementados en la
aplicacin software.
Tiempos, lmites y constantes de cada aplicacin especfica son establecidos
segn la necesidad establecida por la aplicacin.
Existe un aislamiento entre las reas relacionadas con la seguridad y las relativas
a no seguridad.
Todos los requerimientos de seguridad aplicables a la planta son tal como se
refleja en el informe del certificado de seguridad.
Los requerimientos declarados en el manual de seguridad del PES (sistema
electrnico programable) se han cumplido.
La documentacin est completa.
Los requerimientos para el test de aceptacin en fbrica (FAT), test aprobacin
en el sitio (SAT) y el manual de pruebas peridicas se han realizado y estn
completas.
Recordar que la norma IEC 61511 define qu debemos hacer y por qu, pero no
cmo hacerlo. Se nos da libertad para organizar los procesos de revisin y verificacin que
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
184
consideremos necesarios y que se acoplen a nuestra situacin, siempre y cuando se
documente correctamente y constate que cumple con la especificacin de requisitos de
seguridad.
Por lo que se pueden adoptar procesos de verificacin y validacin que ya se usan
habitualmente en la industria, o crear un sistema propio para una compaa en particular.
7.6 Verificacin del SIL de una SIF.
7.6.1 Introduccin
En la especificacin de requisitos de seguridad (SRS) se define el diseo de los
elementos que intervienen en la funcin de seguridad, tecnologa de los sensores,
procesador lgico y elementos finales, que arquitectura (redundancia) necesito para
cumplir con el SIL objetivo establecido en el anlisis de riesgos del proceso, software a
utilizar y se ha decidido que filosofa de pruebas queremos realizar para poder encontrar y
reparar cualquier fallo potencial no detectado en el equipo de seguridad, es decir, se ha
establecido un poltica de inspeccin y mantenimiento. Todas estas decisiones afectan al
clculo de PFD de cada funcin de seguridad.
Comprobar que el lazo de seguridad instalado cumple con el SIL objetivo requiere
de un trabajo analtico adicional complejo en el que hemos de considerar parmetros como
el fallo de causa comn en equipos redundantes, intervalos de pruebas de equipos, tiempos
de reparacin fuera de lnea, tipo de redundancia, nmeros de elementos de una funcin de
seguridad y muchos otros detalles. Todos estos detalles hacen que la verificacin del SIL,
el desarrollo y mantenimiento de los procedimientos y las herramientas adecuadas capaces
de un anlisis riguroso puede que sean muy exigentes y costosas. Este alto nivel de los
costes adicionales normalmente es difcil de justificar, salvo tal vez por las grandes
empresas de la industria de procesos.
Los mtodos de verificacin deben ser coherentes, lgicos y verificables. La mejor
manera es realizar la verificacin a travs de un procedimiento claro, documentado y
probado. Como ya se coment, en el mundo de la industria de proceso qumico y
petroqumico el mtodo ms utilizado para la seleccin del SIL objetivo es el mtodo
HAZOP en combinacin con las matrices de riesgos. Un procedimiento claro que verifique
y asegure el SIL objetivo resulta difcil de desarrollar y mantener, ya que implica la
demanda de un programa de seguridad con la implicacin de importantes recursos
econmicos y personales que no repercuten directamente en la produccin y que por tanto
en pequeas empresas es difcil de justificar. En el actual entorno industrial solo puede ser
soportado por grandes multinacionales.
Otro problema aadido al procedimiento de verificacin es encontrar datos precisos
para la realizacin de los clculos. Informacin sobre las tasas de fallo y su clasificacin en
sensores, sistema de control de seguridad, actuadores y elementos finales de control, etc.
depende de un exhaustivo y detallado anlisis modal de fallos, efectos y diagnsticos
(FMEDA). Cuando no es prctico realizar este tipo de anlisis se pueden realizar ciertos
supuestos, simplificaciones que es importante que sean conservativas. Si los modos de
fallo no se conocen, hemos de asumir que todos los fallos son peligrosos. Si la cobertura de
diagnstico no es conocida, todos los fallos son no detectables. Si el factor de causa comn
() no es conocido, un valor del 10 % ser conservativo.
Una solucin es utilizar equipos uso previo, son equipos ya instalados y la
experiencia nos da una fiabilidad contrastada, no es un sistema viable para pequeas
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
185
empresas ya que requiere de una base de datos altamente contrastada. Actualmente la
opcin ms utilizada es la de disponer de los datos directamente de los fabricantes.
Existen diferentes bases de datos de confiabilidad con listados de mltiples de
equipos. El centro AlChE (American Institute of Chemical Engineers) para la seguridad de
procesos qumicos ha desarrollado la base de datos DPRE 2000. Empresas de seguridad de
terceros como EXIDA tambin mantiene y desarrolla una base de datos de equipos
utilizados en seguridad
1
. Cooperacin de empresas con motivos comunes crean sus bases
de datos, como ejemplo OREDA
2
. Empresas como TV, FM
3
(Factory Mutual), o
compaas especializadas como EXIDA usan mtodos como FMEDA (Anlisis Modal de
Fallos, Efectos y Diagnsticos) para obtener datos de fiabilidad del equipo o instrumento.
Existen diferentes tcnicas para el clculo de la fiabilidad y disponibilidad del
sistema (PFD y MTTF) que emplean metodologas sistemticas que descomponen un
sistema complejo (funcin de seguridad en su totalidad) en componentes bsicos que
interaccionan entre ellos y se fusionan en modelos de fiabilidad para determinar la
disponibilidad total del sistema. Los modelos ms utilizados son:
Ecuaciones simplificadas
4
.
Anlisis del rbol de fallos (FTA)
5
.
Modelo de Markov
6
.
Por tanto, vemos que la industria de procesos necesita cada vez ms de un anlisis
riguroso y documentado de seguridad basado en tcnicas de clculo y datos slidos. En el
entorno que nos movemos es complejo disponer de un grupo de especialistas que puedan
abordar y dedicarse nicamente a estos temas en las empresas. Como resultado nacen
organizaciones, empresas especialistas en seguridad funcional que prestan estos servicios.
Un ejemplo es EXIDA, fundada en 1999 y que proporciona la capacitacin, las
herramientas, software especializado y personal experto en seguridad funcional y fiabilidad
para el desarrollo de sistemas de automatizacin.
Debido a la dificultad de encontrar datos fiables de todos los componentes utilizados,
a la gran variedad de mtodos de clculo a utilizar y a la variedad de mtodos de anlisis
de riesgos propuestos, muchas organizaciones y empresas estandarizan sus sistemas de
seguridad y crean su propia base de datos de componentes con el fin de facilitar su uso por
parte de sus ingenieros y utilizar sistemas, componentes y mtodos comunes basados en las
normas IEC 61511, IEC 61508 y ANSI/ISA S84.01 y en estndares regionales. As crean
un grupo de expertos en seguridad que se ocupan de actualizar la base de datos y
procedimientos. (Ver captulo 7.6.4 Observaciones. Uso de guas propias)
1
Safety Equipment Reliability Handbook - 3rd Edition. Publicado por EXIDA.
2
OREDA, Offshore REliability DAta, proyecto establecido en 1981 por cooperacin de empreas
petroloiferas con elobjetivo de recoleccin de datos de confiabilidad para equipos de seguridad.
www.oreda.com
3
http://en.wikipedia.org/wiki/FM_Global o www.fmglobal.com
4
IEC 61508-6 y Referencia ANSI/ISA-TR84.00.02-2002 Part 2
5
Referencia ANSI/ISA-TR84.00.02-2002 Part 3
6
Referencia ANSI/ISA-TR84.00.02-2002 Part 4
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
186
7.6.2 Procedimiento
La integridad de seguridad se define como la probabilidad de que una funcin
instrumentada de seguridad realice satisfactoriamente la funcin de seguridad requerida
bajo todas las condiciones establecidas y en un tiempo establecido.
La integridad de la seguridad se compone de 2 elementos:
1. La integridad de seguridad hardware.
2. La integridad de seguridad sistemtica.
La integridad de seguridad hardware se puede calcular con un nivel aceptable de
precisin y est basada en los fallos aleatorios del hardware del sistema. La norma
ANSI/ISA-84 y la IEC 61508 y 61511 se refiere a la integridad de seguridad hardware con
la especificacin de una medida objetivo de fallos para cada SIL. En una funcin
instrumentada de seguridad operando en modo demanda la medida objetivo de fallos es
dada por el valor PFD
avg
(probabilidad de fallo promedio para realizar la funcin de
seguridad en demanda) es la tasa de fallos peligrosos media. La integridad sistemtica de
la seguridad es difcil de cuantificar y las normas indican tcnicas, procedimientos y
medidas a seguir para reducir los fallos sistemticos introducidos en un sistema.
Normalmente son fallos producidos en las fases de especificacin, diseo, implementacin,
operacin y modificacin y afectan tanto al hardware como al software. Es en la
especificacin de los requisitos de seguridad donde se decide o se concluye el diseo de los
elementos (hardware, software, redundancia, etc.) y la forma de operar (poltica de
mantenimiento e inspeccin, frecuencia de las pruebas de lazos y equipos, etc.) y que
afectan a la PFD final de la funcin de seguridad.
Normalmente en la evaluacin de una SIF (funcin instrumentada de seguridad)
tambin se especifica una tasa de fallos seguros que sea aceptable. Estos fallos nos
conducen a disparos en falso o paros molestos. Aunque estos fallos producidos en el
sistema de seguridad no son fallos que nos llevan a una situacin de riesgo en demanda
como pasa con los fallos peligrosos, s que es cierto que nos conduce al paro y arranque del
proceso, que adems de consecuencias econmicas asociadas a la prdida de produccin, el
paro y arranque de una planta es un periodo crtico donde la probabilidad de que ocurra
algn riesgo es mayor, sobre todo en equipos como compresores y motores, o estrs en
tuberas y depsitos debido a cambio de temperatura o presin que puede ocasionar fugas
en bridas, tensiones en tuberas, etc. Por tanto el reducir los paros en falso aumentar la
seguridad del proceso. La tasa de fallos seguros es expresada como el tiempo medio para
fallos en falso MTTF
spurious
(mean time to fail - spurious).
A continuacin se puede ver un esquema lgico del proceso simplificado a seguir en
la selecccin y verificacin del SIL.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
187
Figura 7.6.3.1 Procedimiento simplificado.
El mtodo escogido y que se analizar en este trabajo ser el de las ecuaciones
simplificadas. Como se indic anteriormente existen otros mtodos como el anlisis del
rbol de fallos y el modelo de Markov. No son mtodos sencillos de utilizar por lo que
existen software especializados que resuelve el clculo del PFD
avg
y MTTF
spurious
(ej.
SILVER de EXSILENTIA de EXIDA) y empresas especializadas en temas de seguridad que
asesoran, ayudan y realizan los estudios de seguridad y que estn certificadas por
organismos independientes como TV o FM global.
Para realizar los clculos del PFD
avg
y MTTF
spurious
, una buena prctica es tener un
procedimiento claro donde se detallen los pasos a seguir. A continuacin se detalla un
procedimiento que ayuda a realizar los clculos:
1. Identificar el nivel de integridad de seguridad (SIL) de cada funcin
instrumentada de seguridad (SIF).
2. Enumerar los componentes que tienen un impacto en cada una de las SIF.
Normalmente sern los sensores y los elementos finales de control identificados
en el anlisis de riesgos de procesos (PHA). Es el equipo encargado de hacer el
PHA quien asocia un SIL a una SIF.
3. Definir todos los posibles tipos de fallos de elementos del SIS. Como el objetivo
de evaluar la integridad de seguridad es calcular la PFD
avg
y el MTTF
spurious
,
todos los fallos de los elementos del SIS se clasifican en fallos peligrosos y
seguros. Asimismo se definen los fallos detectados y no detectados mientras el
SIS est en lnea u operacin. Esta clasificacin de tasas de fallo se definen en
base al anlisis modal de fallo, efecto y diagnstico (FMEDA). Si no conocemos
los modos de fallo se considerar que todos son peligrosos. Si no se conoce la
cobertura de diagnstico se considerar que todos los fallos son no detectados y
si no se conoce el factor beta de causa comn se estimar un valor del 10%.
4. Para poder determinar PFD
avg
y el MTTF
spurious
de una SIF se debe contar con
datos de tasa de fallos () de los componentes de la SIF. Pueden ser obtenidos de
bases de datos, de los propios fabricantes, de la experiencia en uso previo, de la
utilizacin de elementos certificados, etc.
5. Calcular el PFD
avg
segn la arquitectura definida en la especificacin de los
requisitos de seguridad para cada SIF con la contribucin de todos los elementos
que impactan en la SIF, sensores, elementos finales, procesador lgico, fuente de
alimentacin, etc.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
188
6. Determinar si la PFD
avg
alcanza el SIL objetivo especificado para cada SIF.
7. Determinar si es necesario modificar el SIS (arquitectura, hardware, intervalo de
pruebas, capacidad de diagnstico, etc.) y recalcular la PFD
avg
hasta lograr
cumplir la especificacin de los requisitos de seguridad de cada SIF.
8. Determinar la tasa de disparos en falso (spurious trip) esperada para los
componentes del sistema y obtener el MTTF
spurious
para el SIS.
9. Si el MTTF
spurious
calculado es menor que el requerido, modificar la
configuracin (aadir redundancia, usar componentes con mayor confiabilidad,
etc.) y recalcular hasta cumplir con la especificacin de los requisitos de
seguridad. Estos cambios suponen un reclculo de las PFD
avg
para cada SIF.
10. Cuando los valores de PFD
avg
y MTTF
spurious
cumplen o mejoran los
especificados en la especificacin de los requisitos de seguridad, el proceso de
verificacin se ha completado.
7.6.3 Clculo PFD
avg
y MTTF
spurious
. Modelo Ecuaciones Simplificadas.
El modelo de las ecuaciones simplificadas
1
presenta una estimacin matemtica para
configuraciones tpicas de funciones instrumentadas de seguridad que nos permite evaluar
el rendimiento del sistema, es decir, la probabilidad que la SIF no responda a la demanda
(PFD
avg
) y la probabilidad que se produzca un paro molesto (MTTF
spurious
), objetivo final
de todas las tcnicas de evaluacin de la integridad de seguridad.
Es una tcnica de evaluacin que permite al ingeniero de diseo utilizar una tcnica
general y relativamente sencilla para evaluar la eficacia del diseo de la funcin
instrumentada de seguridad.
Es un mtodo vlido para el clculo de SIL 1, 2 y 3, si bien para el clculo de un SIL
3 el usuario final debe comprender plenamente las limitaciones que presenta este mtodo y
tener un buen conocimiento del mtodo.
7.6.3.1 Clculo PFD
avg
La probabilidad de fallo en demanda es la medida de integridad de seguridad de la
funcin instrumentada de seguridad (SIF) y es la probabilidad que la funcin de seguridad
falle de forma que no sea capaz de realizar la funcin de seguridad para la que fue
diseada, por lo que no responder a una demanda de seguridad y no iniciar ninguna
accin de seguridad. Se trata de un valor promedio entre el intervalo de las pruebas
funcionales. Es el valor usado para verificar que cada funcin instrumentada de seguridad
y por tanto el sistema instrumentado de seguridad satisface el nivel integro de seguridad
(SIL
2
) requerido.
1
IEC 61508-6 y Referencia ANSI/ISA-TR84.00.02-2002 Part 2
2
3 niveles en ISA-TR84.01-1996, o 4 niveles en IEC 61508 y IEC 61511
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
189
Tabla 1 Clasificacin de la reduccin de riesgo. ndice SIL
SIL PFD
avg
RRF
4 10
-4
->10
-5
10000 ->100000
I
S
A
8
4
.
0
1
3 10
-3
->10
-4
1000 ->10000
2 10
-2
->10
-3
100 ->1000
1 10
-1
->10
-2
10 ->100
Tabla 7.6.3.1 ndice SIL segn IEC 61511, IEC 61508 e ISA-TR84.01-1996
Para cumplir con un determinado nivel SIL requerido para una funcin
instrumentada de seguridad, el PFD
avg
debe ser menor que el lmite superior del SIL
dispuesto por la norma en cada nivel.
En general se puede afirmar que:
PFD =f (tasa de fallo (), tasa de reparacin (), intervalo de test (TI), causa comn
(), etc.)
Asimismo la funcin especfica f depender y ser un atributo de la arquitectura del
sistema seleccionada para el SIS.
La probabilidad de fallo en demanda se determina por la suma de las probabilidades
de fallo en demanda de todos los componentes implicados en cada funcin instrumentada
que asegura una proteccin contra eventos peligrosos de un proceso. Si la funcin de
proteccin incluye varias variables de proceso, necesitamos sumar sus probabilidades de
fallo, ya que slo que una de estas variables se encuentre en fallo el sistema instrumentado
de seguridad no funcionar correctamente.
Figura 7.6.3.2 Componentes bsicos de un sistema instrumentado de seguridad
Por tanto, la probabilidad de fallo bajo demanda (PFD) de un sistema instrumentado
de seguridad se obtiene como sigue:
+ + + =
i PS i FE LS i S SIS
PFD PFD PFD PFD PFD
, , ,
(1)
Dnde:
- PFD
SIS
es el PFD
avg
para la funcin de seguridad especfica SIF en el SIS.
- PFD
S
es el PFD
avg
del sensor para la funcin de seguridad especfica SIF en el SIS.
- PFD
FE
es el PFD
avg
del elemento final para la funcin de seguridad especfica SIF
en el SIS.
- PFD
PS
es el PFD
avg
de la fuente de alimentacin en el SIS.
- PFD
LS
es el PFD
avg
del procesador lgico (PLC de seguridad) del SIS.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
190
- i representa cada tipo de componente que es parte de la especfica SIF.
Las siguientes ecuaciones calculan el valor del PFD
avg
segn las configuraciones
tpicas usadas en los sistemas instrumentados de seguridad. De todas las arquitecturas, las
ms representativas son: 1oo1, 1oo2 y 2oo3.
Obtencin del valor de
DU
, tasa de fallos peligrosos no detectados:
DU
DU
MTTF
1
= (2)
Donde MTTF es el tiempo medio entre fallos.
Obtencin del valor
cc
, tasa de fallos de causa comn
=
DU
cc
(3)
Donde es el factor de causa comn
Configuracin 1oo1
=
2 2
TI TI
PFD
D
F
DU
avg
(4)
Dnde:
DU
es la tasa de fallas peligrosas no detectadas.
D
F
es la tasa de fallos sistemticos peligrosos.
TI es el intervalo de tiempo entre test de pruebas funcionales.
El trmino
2
TI
D
F
es la probabilidad de fallo debido a errores sistemticos.
Configuracin 1oo2 (5)
( ) ( ) ( ) [ ]
+ +
=
2 2
1
3
1
2
2 TI TI
TI MTTR
TI
PFD
D
F
DU DD DU DU
avg
El trmino ( ) 1 podemos asumir que prcticamente es 1, ya que los valores de
suelen estar en los siguientes rangos:
05 , 0 005 , 0 = en equipos electrnicos programables.
1 , 0 01 , 0 = en equipos de campo.
Por lo que la podemos reducir la ecuacin a:
( ) [ ]
+ +
=
2 2 3
2
2 TI TI
TI MTTR
TI
PFD
D
F
DU DD DU DU
avg
(6)
Dnde: MTTR es el tiempo medio de reparacin.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
191
DD
es la tasa de fallos peligrosos detectados.
es el factor de causa comn, fraccin de fallos que impactan a ms de un
canal o un sistema redundante (causa comn).
El trmino [ ] TI MTTR
DD DU
representa la probabilidad de errores durante el
tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, <8 horas.
El trmino
2
TI
DU
es la probabilidad de fallo debido a fallos de causa
comn.
El trmino
2
TI
D
F
es la probabilidad de fallo debido a errores sistemticos.
Configuracin 1oo3
( ) ( ) [ ]
+ +
=
2 2 4
2
2
2
3 TI TI
TI MTTR
TI
PFD
D
F
DU DD DU DU
avg
(7)
El trmino ( ) [ ]
2
2
TI MTTR
DD DU
representa la probabilidad de errores durante
el tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, <8 horas.
El trmino
2
TI
DU
es la probabilidad de fallo debido a fallos de causa
comn.
El trmino
2
TI
D
F
es la probabilidad de fallo debido a errores sistemticos.
Configuracin 2oo2
[ ] [ ]
+ + =
2
TI
TI TI PFD
D
F
DU DU
avg
(8)
El trmino [ ] TI
DU
es la probabilidad de fallo debido a fallos de causa comn.
El trmino
2
TI
D
F
es la probabilidad de fallo debido a errores sistemticos
Configuracin 2oo3
( ) [ ] [ ]
+ + =
2 2
3
2
2 TI TI
TI MTTR TI PFD
D
F
DU DD DU DU
avg
(9)
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
192
El trmino[ ] TI MTTR
DD DU
3 representa la probabilidad de errores durante el
tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, <8 horas.
El trmino
2
TI
DU
es la probabilidad de fallo debido a fallos de causa
comn.
El trmino
2
TI
D
F
es la probabilidad de fallo debido a errores sistemticos.
Configuracin 2oo4
( ) [ ] ( ) [ ]
+ + =
2 2
4
2
2
3
3 TI TI
TI MTTR TI PFD
D
F
DU DD DU DU
avg
(10)
El trmino ( ) [ ]
2
2
4 TI MTTR
DD DU
representa la probabilidad de errores durante
el tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, <8 horas.
El trmino
2
TI
DU
es la probabilidad de fallo debido a fallos de causa
comn.
El trmino
2
TI
D
F
es la probabilidad de fallo debido a errores sistemticos.
Consideraciones:
1. Para todos los clculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
2. Los trminos referidos a fallas sistemticas, fallos debidos errores en el diseo, en
la programacin, en la calibracin de los instrumentos, son excepcionalmente
introducidos en los clculos de verificacin del SIF debido a la dificultad de
evaluar los modos y efectos de fallos y la falta de datos de tasas de fallos
sistemticos. Sin embargo son muy importantes y pueden tener una repercusin
grave en el funcionamiento de nuestro sistema instrumentado de seguridad, por
ejemplo una vlvula de corte de gas cuyo actuador no es capaz de mover la
vlvula, si ocurre un evento peligroso la vlvula no actuar. Por esta razn las
normas IEC 61511, IEC 61508 y la ANSI/ISA-84.01 incorporan en el ciclo de
vida conceptos de diseo e instalacin, criterios de validacin y test, y un criterio
gestin de cambio si este es necesario. Por lo que la verificacin del SIL se basa
fundamentalmente en evaluar el rendimiento del SIS relacionados con los fallos
aleatorios y no los sistemticos, de diseo. Si de todas formas se quiere
incorporar un valor de probabilidad de fallo sistemtico al sistema, se puede
utilizar un nico valor de probabilidad de fallo sistemtico para toda la funcin,
ecuacin 11. Este valor lo podemos obtener de la experiencia de lazos similares
que podamos obtener de bases de datos o bien de nuestra propia experiencia.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
193
+ + + + =
2
, , ,
TI
PFD PFD PFD PFD PFD
D
F i PS i FE LS i S SIS
(11)
3. Si el tiempo de reparacin de un componente redundante averiado se estima que
es corto, normalmente menos de un turno de operacin (8 horas). El trmino que
incorpora la variable MTTR, y que se refiere a la probabilidad de que ocurra ms
de un fallo mientras se est reparando un componente, se puede considerar nulo.
4. Los fallos de causa comn, fallos debidos a fuentes de estrs como temperatura,
humedad, corrosin, vibracin, interferencias electromagnticas o eventos
externos como la cada de rayos, pueden ser obviados si son factores que
normalmente son tratados en fase de diseo usando componentes basados en la
experiencia de la planta.
Por tanto y derivado de las consideraciones anteriores podemos simplificar las
ecuaciones anteriores sin trminos de mltiples fallos durante la reparacin y sin los fallos
sistemticos. S que dejaremos el trmino referente a los fallos de causa comn, ya que
son de los que ms datos se suele disponer y ms modelos y tablas existen.
Las ecuaciones simplificadas para las arquitecturas ms utilizadas en industria de
procesos (1oo1, 1oo2, 2oo3), teniendo en cuenta la posibilidad de utilizar elementos
redundantes con diferentes tasas de fallos (diversidad de componentes) son:
Configuracin 1oo1
=
2
TI
PFD
DU
avg
(4a)
Configuracin 1oo2
=
2 3
2 1
2
2 1
TI TI
PFD
DU DU DU DU
avg
(6a)
Configuracin 2oo3
+ + =
2 3
3
3 2 1
2
3 2 3 1 2 1
TI TI
PFD
DU DU DU DU DU DU DU DU DU
avg
(9a)
Dnde:
DU
i
es la tasa de fallo peligroso no detectado de cada componente. Un fallo
peligroso no detectado, impide que la funcin del sistema instrumentado de seguridad se
realice cuando sea demandada, o que no trabaje como se dise. Como ejemplos:
- Un medidor de presin con la rama de proceso obstruida. Si la funcin de
seguridad es actuar por alta presin, un evento en el proceso no ser detectado y
por tanto no se realizar la funcin de seguridad diseada.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
194
- Un transmisor de medida que por fallo electrnico enva una seal fija. Segn la
capacidad de diagnsticos del sistema este tipo de fallo podr ser o no ser
detectado. Si se puede detectar pasar a ser un fallo peligroso detectado
DD
i
.
es el factor de causa comn. Es la fraccin de fallos peligrosos en las que todas
las medidas o canales de control fallan debido a una causa comn. Como ejemplo:
- Entrada de agua en un instrumento por un diseo defectuoso. Por ejemplo, en un
sistema 1oo2 es difcil que se produzca un fallo en los 2 instrumentos a la vez,
pero si el PLC no realiza un diagnstico por comparacin de seales en el sistema
1oo2, puede ocurrir que en el periodo de test de prueba de los instrumentos (TI =1
ao) se pueda producir el error en los 2 instrumentos.
Procedimiento bsico para el clculo del PFD
avg
de los sensores.
1. Identificar cada sensor que detecta una desviacin fuera de las condiciones
normales de proceso y que lleva a que la SIF acte en contra de esa desviacin.
Slo los sensores que prevengan o mitiguen la desviacin designada se incluyen
en los clculos del PFD.
2. Obtener los valores del
DU
MTTF para cada sensor.
3. Calcular el PFD para cada configuracin de sensores usando el
DU
MTTF y las
ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de sensores para obtener el
S
PFD de la
funcin de seguridad evaluada.
Procedimiento bsico para el clculo del PFD
avg
de los elementos finales.
1. Identificar cada elemento final que protege una desviacin fuera de las
condiciones normales de proceso y que lleva a que la SIF acte en contra de esa
desviacin. Slo los elementos finales que prevengan o mitiguen la desviacin
designada se incluyen en los clculos del PFD.
2. Obtener los valores del
DU
MTTF para cada elemento final.
3. Calcular el PFD para cada configuracin de elementos finales usando el
DU
MTTF y las ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de elementos final para obtener el
FE
PFD de la funcin de seguridad evaluada. Este paso slo se realiza si la
funcin de seguridad evaluada requiere de mltiples elementos finales.
Procedimiento bsico para el clculo del PFD
avg
del revolvedor lgico (PLC de seguridad).
1. Identificar el tipo de revolvedor lgico usado.
2. Obtener el valor de
DU
MTTF del revolvedor lgico. Normalmente es un valor
dado por el fabricante.
3. El
LS
PFD es un valor que viene dado por el fabricante. Hoy en da en sistemas de
seguridad slo se utilizan PLCs de seguridad aprobados por organismos
independientes tipo TV que garantizan un SIL determinado. Como regla
general el
LS
PFD puede ser despreciado si el PLC es failsafe, PLCs que en caso
de fallo lleva el proceso a un estado seguro.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
195
Procedimiento bsico para el clculo del PFD
avg
de la fuente de alimentacin.
1. Obtener el
DU
MTTF de cada fuente de alimentacin del SIS.
2. Calcular el
PS
PFD usando las ecuaciones antes descritas segn redundancia.
3. Un SIS diseado para desenergizar para posicin segura (para paro) la fuente de
alimentacin no tiene impacto sobre el PFD
avg
de la SIF, ya que un fallo en la
alimentacin nos lleva a una accin que lleva el proceso a un estado seguro. Si el
SIS est diseado para energizar para paro, se realizan los puntos 1 y 2.
Como podemos mejorar el valor PFD
avg
para conseguir el valor SIL meta deseado.
1. Utilizando o aumentando la redundancia de componentes para asegurar
disponibilidad de proceso y aumentar la tolerancia a fallo Hardware (HFT).
2. Realizando un programa de mantenimiento ms ajustado. Reduciendo el
intervalo de test (TI), disminuyendo el MTTR.
3. Utilizando componentes ms fiables, con valores de tasa de fallo menores (), o
con mayor cobertura de diagnstico (C).
7.6.3.2 Clculo MTTF
spurious
Un fallo seguro de un componente puede causar un paro molesto, pero seguro del
sistema. Es lo que conocemos como paros en falso. Son paradas del proceso, no debido a
problemas del proceso, sino a fallos en componentes que hace que el sistema acte y lleve
la planta a una posicin de seguridad. No se ve afectada la seguridad del sistema pero s
que conlleva una repercusin econmica al parar la produccin.
El MTTF
spurious
es la medida del tiempo medio entre fallos seguros, espurios o
molestos de un componente o sistema.
Es importante calcular la tasa de los disparos en falso de la funcin de seguridad y
del sistema, para mejorar la fiabilidad del SIS, porque aunque no compromete directamente
la seguridad s que se ve afectada la fiabilidad.
La norma ISA-TR84.01 y la IEC 61511 y IEC 61508 incluye el trmino STR (Tasa
de paros espurios) e indica la probabilidad de que un disparo molesto o espurio suceda en
el SIS. La tasa esperada de que suceda un disparo en la SIF por razones no asociadas a
problemas en el proceso para la que la SIF fue diseada.
En esta evaluacin se deben considerar todos los componentes que pueden causar un
disparo en falso del SIS incluso aquellos que no estn directamente relacionados con el
evento peligroso especfico tratado.
De la misma forma que para el clculo del PFD
avg
del sistema, la tasa de fallo o paro
molesto (STR) de un sistema instrumentado de seguridad se obtiene como sigue:
+ + + =
i PS i FE LS i S SIS
STR STR STR STR STR
, , ,
(12)
Dnde:
- STR
SIS
es el STR para la funcin de seguridad especfica SIF en el SIS.
- STR
S
es el STR del sensor para la funcin de seguridad especfica SIF en el SIS.
- STR
FE
es el STR del elemento final para la funcin de seguridad especfica SIF en
el SIS.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
196
- STR
PS
es el STR de la fuente de alimentacin en el SIS.
- STR
LS
es el STR del resolvedor lgico (PLC de seguridad) del SIS.
- i representa cada tipo de componente que es parte de la especfica SIF.
Las siguientes ecuaciones calculan el valor del STR segn las configuraciones tpicas
usadas en los sistemas instrumentados de seguridad. De todas, las arquitecturas ms
representativas son: 1oo1, 1oo2 y 2oo3.
Obtencin del valor de
S
, tasa de fallos seguros:
seguros
S
MTTF
1
= (13)
Donde
spurious
MTTF es el tiempo medio entre fallos espurios.
Configuracin 1oo1
S
F
DD S
STR + + = (14)
Dnde:
S
es la tasa de fallos seguros o espurios del componente.
DD
es la tasa de fallo debido a fallos peligrosos detectados.
S
F
es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 1oo2
( ) [ ] ( ) [ ]
S
F
DD S DD S
STR + + + + = 2 (15)
Dnde: es el factor de causa comn, fraccin de fallos que impactan a ms de un
canal o un sistema redundante (causa comn).
El trmino ( ) [ ]
DD S
+ representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino
S
F
es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 1oo3
( ) [ ] ( ) [ ]
S
F
DD S DD S
STR + + + + = 3 (16)
El trmino ( ) [ ]
DD S
+ representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino
S
F
es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 2oo2
( ) [ ] ( ) [ ]
S
F
DD S DD S S
MTTR STR + + + + = 2 (17)
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
197
Donde MTTR es el tiempo medio de reparacin.
El trmino ( ) [ ]
DD S
+ representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino
S
F
es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 2oo3
( ) [ ] ( ) [ ]
S
F
DD S DD S S
MTTR STR + + + + = 6 (18)
Donde MTTR es el tiempo medio de reparacin.
El trmino ( ) [ ]
DD S
+ representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino
S
F
es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 2oo4
( ) [ ] ( ) [ ]
S
F
DD S DD S
MTTR STR + + + + =
2
3
12 (19)
Donde MTTR es el tiempo medio de reparacin.
El trmino ( ) [ ]
DD S
+ representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino
S
F
es la tasa de fallo seguro debido a errores sistemticos.
Consideraciones:
1. El trmino
DD
, tasa de fallos peligrosos detectados, se incluye en el clculo de la
tasa de paros espurios cuando el fallo peligroso detectado pone el canal (para un
sistema redundante) o de todo el sistema (para un sistema no redundante) en un
estado seguro (desenergizado), es decir, activa el sistema de seguridad. Si el fallo
peligroso detectado no lleva al sistema a un estado seguro, el trmino
DD
no
debe tenerse en cuenta en las anteriores ecuaciones.
2. Las ecuaciones (17), (18) y (19) asumen que los fallos seguros pueden ser
detectados en lnea (on-line). Si los fallos seguros slo pueden ser detectados a
travs de inspecciones y tests, el trmino MTTR debe ser sustituido por el
intervalo de test TI .
3. Para todos los clculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo espurio. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
4. Los trminos referidos a fallos sistemticas seguras, son tratados de la misma
forma que para el clculo de la probabilidad de fallos peligrosos (PFD
avg
)
(captulo 7.6.3.1 apartado consideraciones). Por lo que si de todas formas se
quiere incorporar un valor de probabilidad de fallo sistemtico al sistema, se
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
198
puede utilizar un nico valor de probabilidad de fallo sistemtico para toda la
funcin, ecuacin (20). Este valor lo podemos obtener de la experiencia de lazos
similares que podamos obtener de bases de datos o bien de nuestra propia
experiencia.
S
F i PS i FE LS i S SIS
STR STR STR STR STR + + + + =
, , ,
(20)
5. En sistemas redundantes, cuando se detecta un fallo (
DD
) si este es reparado en
un periodo de tiempo corto, normalmente 1 turno (8 horas) el que ocurran fallas
adicionales mientras se est realizando la reparacin es bastante improbable. Por
esta razn no se suele tener en cuenta este trmino.
6. Los fallos de causa comn, fallos debidos a fuentes de estrs como temperatura,
humedad, corrosin, vibracin, interferencias electromagnticas, o eventos
externos como la cada de rayos, pueden ser obviados si son factores que
normalmente son tratados en fase de diseo usando componentes basados en la
experiencia de la planta.
Por tanto y derivado de las consideraciones anteriores podemos simplificar las
ecuaciones anteriores para las arquitecturas ms utilizadas en industria de procesos (1oo1,
1oo2, 2oo3) y 2oo2 para fuentes de alimentacin redundantes.
Configuracin 1oo1
S
STR = (14a)
Configuracin 1oo2
S
STR = 2 (15a)
Configuracin 2oo2
( ) MTTR STR
S
=
2
2 (17a)
Configuracin 2oo3
( ) MTTR STR
S
=
2
6 (18a)
El resultado final del valor de MTTF
spurious
para el sistema ser:
sis
spurious
STR
MTTF
1
= (21)
Procedimiento bsico para el clculo del STR de los sensores:
1. Identificar cada sensor que es un iniciador en el SIS.
2. Obtener los valores del
spurious
MTTF de cada sensor.
3. Obtener los valores del MTTR de cada sensor.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
199
4. Calcular el STR para cada configuracin de sensores usando las ecuaciones antes
descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de sensores para obtener el
S
STR de la
funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR de los sensores.
1. Identificar cada elemento final que es controlado por el SIS.
2. Obtener los valores del
spurious
MTTF de cada elemento final.
3. Obtener los valores del MTTR de cada elemento final.
4. Calcular el STR para cada configuracin de elementos finales usando las
ecuaciones antes descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de elementos finales para obtener el
FE
STR de la funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR del revolvedor lgico (PLC de seguridad).
1. Identificar el tipo de revolvedor lgico usado.
2. Obtener el valor de
spurious
MTTF del revolvedor lgico. Normalmente es un valor
dado por el fabricante.
3. El
LS
STR es un valor que viene dado por el fabricante. Hoy en da en sistemas de
seguridad slo se utilizan PLCs de seguridad aprobados por organismos
independientes tipo TV que garantizan un SIL determinado. El
spurious
MTTF
para un revolvedor lgico es una funcin no-lineal por lo que el usuario suele
pedir el
spurious
MTTF como una funcin de MTTR , por lo que el usuario solo
especifica el rango del MTTR aceptable.
Procedimiento bsico para el clculo del STR de la fuente de alimentacin.
1. En este apartado se refiere todas las fuentes de alimentacin externas al SIS,
como UPS (sistema de alimentacin ininterrumpida), generadores diesel, etc. Las
tasas de fallo seguro de las fuentes de alimentacin internas del revolvedor lgico
deben estar incluidas en las tasas de fallo del revolvedor lgico. Si no fuese as se
deberan tener en cuenta.
2. Obtener el
spurious
MTTF de cada fuente de alimentacin del SIS.
3. Obtener los valores del
spurious
MTTF de cada fuente de alimentacin.
4. Obtener los valores del MTTR de cada fuente de alimentacin.
5. Calcular el
PS
STR usando las ecuaciones antes descritas segn redundancia.
Como podemos reducir la tasa de paros espurios (STR).
1. Utilizando redundancia adicional de componentes para asegurar la disponibilidad
de proceso.
2. Utilizando componentes ms seguros, con valores de tasa de fallos espurios
menores.
3. Cualquier cambio que realicemos para aumentar la fiabilidad del sistema,
disminuir la tasa de fallo espurios requiere realizar de nuevo la evaluacin del
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
200
PFD
avg
del sistema para confirmar que se cumple con el SIL objetivo requerido
en las especificaciones de seguridad.
7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas
Un modelo es una aproximacin de la realidad. Es imposible modelar cada aspecto
de la realidad, por tanto se han de suponer una serie de supuestos, hiptesis que ayuden a
simplificar el esfuerzo para realizar el modelo. Cada modelo creado tendr asociado una
incertidumbre. Las tasas de fallos, tiempos medios de reparacin, etc. utilizados en
modelos de fiabilidad son inciertos, por muchas razones, las bases de datos pueden no ser
claras, puede que no dispongamos de datos precisos por no disponer de una buena base de
datos, o porque el equipo sea nuevo y no exista un histrico. Por ello, lo bien o mal que se
interprete el modelo y la disponibilidad o no de datos vlidos afectar a la eficacia y xito
de los valores obtenidos de los clculos de PFD
avg
y STR.
Supuestos realizados para los clculos por ecuaciones simplificadas:
1. La funcin instrumentada de seguridad ser diseada, instalada y mantenida de
acuerdo a la norma ANSI/ISA-84.01, IEC61511 y IEC61508.
2. Las tasas de fallo () y de reparacin () se asumen constantes durante todo el
ciclo de vida de la SIF. Esto determina la necesidad de realizar un mantenimiento
preventivo adecuado para evitar que el dispositivo pierda disponibilidad.
Dispositivos con una vida til ms corta debern ser remplazados a su debido
momento.
3. Una vez que un componente ha fallado en uno de los posibles modos de fallo, no
puede fallar otra vez en uno de los restantes modos de fallo. Slo podr fallar otra
vez si ha sido reparado. Es decir, el modelo no contempla la posibilidad de ms
de un modo de fallo del dispositivo.
4. Las ecuaciones suponen similares tasas de fallo para componentes redundantes.
5. La tasa de fallo del sensor incluye desde el sensor hasta el mdulo de entrada del
revolvedor lgico. Sensor, transductor, barrera separadora.
6. La tasa de fallo del elemento final incluye desde el mdulo de salida del
revolvedor lgico hasta el elemento final. Barrera separadora, solenoide, control
(control de vlvula), elemento final (vlvula).
7. La tasa de fallo del revolvedor lgico incluye los mdulos de entrada, el
procesador lgico, los mdulos de salida y las fuentes de alimentacin.
8. El intervalo de test entre pruebas de funcionalidad (TI) se asume mucho ms
corto que el tiempo medio entre fallos (MTTF).
9. Se supone que tras el test de funcionalidad o la reparacin de un componente del
sistema, este queda perfecto.
10. Todos los componentes de la SIF han sido debidamente especificados segn la
aplicacin del proceso. As, una vlvula fallar en la direccin segura segn la
aplicacin.
11. Todos los fallos de las fuentes de alimentacin se suponen para el estado
desenergizado.
12. No supone el PFD humano a la hora de responder ante un evento peligroso.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
201
13. El valor objetivo target del PFD
avg
y MTTF
spurious
se define para cada SIF
implementada en el sistema.
14. Las ecuaciones asumen un camino de degradacin, es decir un sistema 2oo3
degrada como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y
un segundo fallo degrada a parada.
15. Por ltimo se asume que el usuario ha de estar familiarizado con las tcnicas de
verificacin SIF y tiene un conocimiento general de la utilizacin de las bases de
datos de tasas de fallos, anlisis de modos de fallo y de efectos, y evaluacin de la
causa comn y la cobertura de diagnstico.
Bibliografa y referencias:
[1] ISA-TRS84.00.02-2002-Part2, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL).
Evaluation Techniques Part 2. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Fiabilidad y Seguridad: Su aplicacin en procesos industriales. Antoni Creus i Sol. 2 edicin.
MARCOMBO, 2005.
[4] Seminario: Functional Safety for the Process Industry. TV SD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
[5] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com.
[6] Simplified Methods and Fault Tree Analysis of Safety Instrumented Systems. Staff from Premier
Consulting Services. INVENSYS performance solutions.
7.6.3.4 Ejemplo de clculo utilizando el modelo de ecuaciones simplificadas
Se trata de un ejemplo simplificado y aproximado del comportamiento de un horno.
El sistema de supervisin de hornos y calderas es un sistema particular que se define con
las siglas BMS (Burner Management System, sistema de supervisin de quemadores). La
misin del BMS es que cualquier fallo de un componente no prevenga la parada del
sistema, ante todo, el sistema ha de ser seguro. El estndar ms importante que cubre BMS
y ms reconocido a nivel mundial es el NFPA 85 y 86 (National Fire Protection
Association). Este estndar recoge extensamente y con requerimientos especficos los
diseos.
Los hornos y calderas son unos de los procesos que a lo largo de la historia han dado
ms accidentes, por ello la necesidad de los estndares especficos para evitar malas
operaciones y diseos.
El estndar NFPA 85 cubre gran parte del ciclo de vida de un BMS, diseo,
instalacin, operacin y mantenimiento. Est vinculada a la norma IEC 61508 por lo que
se contempla en el contexto de la IEC 61511 y ANSI/ISA-84.01.
En resumen un BMS es un Sistema Instrumentado de Seguridad.
Ejemplo:
Se trata de un proceso petroqumico que necesita calentar los hidrocarburos,
principalmente propano a una temperatura entre 550 y 650 C a travs de unos hornos para
que en la unidad de reaccin se produzca la reaccin qumica y se deshidrogene el propano
produciendo principalmente propileno. Se trata de una reaccin endotrmica. Para ello se
utiliza un horno con quemadores de gas.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
202
El flujo de alimentacin al horno se regula por el lazo FIC-01. Un regulador de
presin local controla la presin de gas natural a las llamas piloto, PCV-08. El fuel gas a
quemadores, FIC-02, se realiza a travs de un control en cascada con la temperatura de
salida del horno del gas de alimentacin de proceso TIC-01. Todos los lazos de control y
regulacin se encuentran y son parte del Sistema Bsico de Control del Proceso (BPCS)
del horno.
En el HAZOP
1
realizado, los principales temas a estudiar son:
1. Tener suficiente aporte de gas natural a los quemadores piloto.
2. Tener suficiente aporte de gas natural y fuel gas a los quemadores principales.
3. Tener suficiente aporte de Oxgeno para realizar la combustin del gas. Se trata
de un horno por tiro natural.
Tras realizar el estudio HAZOP del proceso el horno se llega al siguiente diagrama
de instrumentacin y tubera (P&I Diagram).
Figura 7.6.3.3 Diagrama P&I, tras HAZOP (parte 1)
Del anlisis HAZOP realizado para el ejemplo, de todos los fallos con consecuencias
importantes que se sugieren se analiza el caso de prdida o exceso de flujo en la lnea de
gas natural a los pilotos (color rojo). El diagrama P&I mostrado en la figura 7.6.3.3 nos
muestra el resultado final tras realizar el HAZOP, despus de realizar la verificacin del
SIL objetivo para la funcin por clculo de PFD
avg
con el mtodo de ecuaciones
simplificadas. Los lazos en verde representan variaciones del proceso que han de ser
analizadas en el HAZOP, como parte de otras funciones de seguridad y que pueden tener
consecuencias importantes de seguridad
2
.
A continuacin se muestra el resultado del estudio HAZOP (el estudio del HAZOP
para esta funcin de seguridad es un caso real).
1
HAZOP aproximado para la realizacin del ejemplo. Se analizar slo una SIF.
2
Representa el sistema de enclavamientos de seguridad perteneciente al rea que se estudia.
En este caso S-500 representa el sistema de seguridad del horno.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
203
La obtencin del valor objetivo SIL se realizar por medio de la matriz de riesgos
(ver captulo 7.3 Definir SIL objetivo).
Figura 7.6.3.4 HAZOP horno por posible prdida de la llama piloto.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
204
Otras consideraciones:
Cumplimiento reglamentario: Las vlvulas de aislamiento en las lneas de fuel gas y
gas natural a quemadores y pilotos se han de instalar con doble vlvula de corte y venteo
intermedio a travs de un borboteo conectado a colector de antorcha aguas arriba del
colector de presin con el fin de aislar las lneas de gas a pilotos y quemadores. Asimismo
estas vlvulas han de tener un reset local cercano a las vlvulas (HS 03). Las vlvulas
tendrn indicacin de posicin a travs de finales de carrera. A fallo de energa cierran
(posicin de seguridad cerrada). Segn norma NFPA 85.
Del Anlisis HAZOP obtenemos las funciones de seguridad a implementar en el
Sistema Instrumentado de Seguridad. En el caso de la llama piloto, una variacin del flujo
de gas natural a las llamas piloto puede provocar que estas se apaguen. La seguridad del
sistema vendr dado por la lectura de presin de la lnea, una fluctuacin en la presin de
la lnea implica una variacin del flujo de gas natural. La variacin de presin puede
provocar que los pilotos se extingan con el potencial de crear una atmsfera explosiva en el
hogar del horno.
Anlisis SIL: Baja presin de gas natural a pilotos.
Evaluacin de seguridad:
Matriz de riesgos:
Un riesgo clase B es inaceptable y requiere la instalacin de elementos de proteccin,
entre ellos un SIS que alcancen un SIL 3.
Configuracin, arquitectura especificada para SIL 3 del SIS:
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
205
Figura 7.6.3.5 Diagrama de bloque de la SIF del piloto.
Segn la norma IEC 61511 y la ANSI/ISA 84.01, un sistema de vlvulas block and
bleed (bloque y purga) es considerado un sistema 1oo2.
Se han realizado las siguientes suposiciones:
1. La SIF ha sido diseada como desenergizar para paro.
2. Todos los componentes redundantes tienen la misma tasa de fallos.
3. Hay redundancia externa de fuentes AC de alimentacin.
4. El PFD
avg
y el MTTF
spurious
para el PLC de seguridad redundante es dado por el
fabricante y se asume un valor de 0.00005 y 100 aos respectivamente.
5. Intervalo de test funcional de 12 meses (TI).
6. MTTR de 8 horas, se supone una reparacin perfecta.
7. Errores sistemticos y de causa comn se estiman negligibles.
Clculo del PFD:
PFD de los sensores:
Datos:
Transmisor de presin PI 03, 04, 05
MTTF
DU
=100 aos; 01 . 0
1
= =
DU
DU
MTTF
Eq. (9a) configuracin 2oo3
( ) 4 1
3
2
2
2
3 2 3 1 2 1
= =
+ + = TI
TI
PFD
DU DU DU DU DU DU DU
avg
PFD elementos finales:
Datos:
Vlvulas de Bloqueo +solenoides UV 11, 12, 13, 21, 22, 23
MTTF
DU
=50 aos; 02 . 0
1
= =
DU
DU
MTTF
Eq. (6a) configuracin 1oo2
( ) 4 33 . 1
3 3
2
2
2
2 1
= =
=
TI TI
PFD
DU DU DU
avg
Como la funcin de seguridad tiene dos bloques de elementos finales con la misma
configuracin 1oo2, el PFD
FE
ser:
4 66 . 2 4 33 . 1 4 33 . 1
,
= + = =
i FE FE
PFD PFD
PFD PLC de seguridad:
5 5 =
avg
PFD
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
206
PFD Fuente de alimentacin
Como el SIS desenergiza para paro, la fuente de alimentacin no tiene impacto PFD
sobre el sistema.
PFD
avg
del sistema:
Eq. (1);
+ + + =
i PS i FE LS i S SIS
PFD PFD PFD PFD PFD
, , ,
4 16 . 4 4 66 . 2 5 5 4 1 = + + =
SIS
PFD
2404 1 = = PFD RRF SIL 3: 1000 < RRF <10000
El valor mximo permitido para SIL 3 es 0.001 por tanto el diseo cumple con las
especificaciones de seguridad. El diseo alcanza el SIL 3 especificado.
Clculo del MTTF
spurious
:
MTTF
spurious
de los sensores:
Datos:
Transmisor de presin PI 03, 04, 05
MTTF
spurious
=50 aos; 02 . 0
1
= =
spurious
S
MTTF
Eq. (18a) configuracin 2oo3
( ) 6 57 . 6 6
2
= = MTTR STR
S
S
MTTF
spurious
elementos finales:
Datos:
Vlvulas de Bloqueo +solenoides UV 11, 12, 13, 21, 22, 23
MTTF
spurious
=25 aos; 04 . 0
1
= =
spurious
S
MTTF
Eq. (15a) configuracin 1oo2
08 . 0 2 = =
S
FE
STR
Como la funcin de seguridad tiene dos bloques de elementos finales con la misma
configuracin 1oo2, el STR
FE
ser:
16 . 0
,
= =
i FE FE
STR STR
MTTF
spurious
PLC de seguridad:
MTTF
spurious
=100 aos
01 . 0 =
LS
STR
MTTF
spurious
Fuente de alimentacin
MTTF
spurious
para la fuente de alimentacin redundante viene dada por el fabricante.
MTTF
spurious
=20 aos
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
207
05 . 0 =
PS
STR
MTTF
spurious
del sistema:
Eq. (21);
SIS
spurious
SIS
STR
MTTF
1
=
Eq. (20);
S
F i PS i FE LS i S SIS
STR STR STR STR STR + + + + =
, , ,
22 . 0 05 . 0 16 . 0 01 . 0 6 57 . 6 = + + + =
SIS
STR
54 . 4
1
= =
SIS
spurious
SIS
STR
MTTF aos
Esto significa que cada 4 aos y medio aproximadamente puede haber un paro no
esperado (espurio) de la planta. Si este valor no fuese aceptable, hay que considerar
cambios en el lazo con el fin de aumentar el tiempo medio entre fallos. Se puede aumentar
la redundancia, o coger componentes con un mayor MTTF. Cualquier cambio que se
realice supone volver a verificar que el PFD del sistema cumple con los requerimientos
especificados.
Bibliografa y referencias:
[1] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[2] NFPA 85: Boiler and Combustion Systems Hazards Code. Edicin 2001 desarrollada y publicada por
National Fire Protection Association (NFPA), 1 Batterymarch Park, Quincy, USA.
7.6.4 Observaciones. Uso de guas propias estandarizadas
Como ya se ha ido indicando, las grandes compaas multinacionales con suficientes
recursos suelen tener guas y estndares globales propios de ingeniera y diseo de todas
sus plantas y por tanto de sus sistemas. Por tanto es lgico pensar que tambin estandariza
el diseo e instalacin de sus sistemas de seguridad. Estos estndares facilitan el trabajo a
los ingenieros encargados en el desarrollo, instalacin y mantenimiento. Son guas que se
aplican en todo el entorno de la multinacional y permite trabajar de un modo comn y
global en plantas de diferentes pases.
Son guas basadas en las normas IEC 61511 y IEC 61508 y por defecto en la
ANSI/ISA-84.01. Adems, en cada pas se tendr que adaptar a la normativa y legislacin
de la zona.
Por lo que podemos concluir que el diseo conceptual de un SIS, si se realiza dentro
del mbito de una compaa con guas estndares propios, se adaptarn estos estndares.
A continuacin se listan los principales requerimientos de una gua o estndar tpico.
Es un listado muy resumido y bsico que podra ser utilizado por cualquier multinacional
del sector petroqumico y sobre el que se basaran todos sus diseos del Sistema
Instrumentado de Seguridad.
Recordemos el ciclo de vida que propusimos como ejemplo y basado en el ciclo de
vida expuesto en el estndar IEC 61511. (Figura 7.1.3. Ciclo de Vida de Seguridad SIS
ejemplo. Captulo 7.1).
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
208
Figura 7.1.3. Ciclo de Vida de Seguridad SIS ejemplo
1. General
1.1 En general se cumplirn todos los requerimientos de la norma IEC 61511. Estos
requerimientos se detallan en la gua global de la compaa.
2. Personal
2.1 Slo personal cualificado y entrenado participar en la realizacin de las diferentes
actividades englobadas en ciclo de vida de seguridad.
2.2 Todos los resultados de las actividades de las diferentes etapas definidas en el ciclo
de vida han de ser verificadas por una segunda persona que no haya estado
directamente involucrada en la actividad (principio de los 4 ojos). Estas etapas se
definen en detalle en la IEC 61511.
3. Anlisis de riesgo de proceso para sistemas instrumentados
3.1 Se utilizar el mtodo HAZOP principalmente, como alternativa podr utilizarse el
mtodo rbol de fallos para la realizacin del anlisis de riesgo.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
209
3.2 Se usar la matriz de riesgos para asignar un valor objetivo SIL (nivel integro de
seguridad) a cada caso.
3.3 Slo funciones con SIL 2 o SIL 3 sern implementadas como funciones de seguridad
de un sistema instrumentado. Las funciones con un SIL <2 se considerarn como
funciones de monitorizacin y alarma y se implementarn en el sistema bsico de
control de proceso (BPCS, normalmente un DCS). Funciones con un SIL > 3
requerir una modificacin del diseo del proceso o bien el uso de otros sistemas de
proteccin adems del sistema instrumentado de seguridad.
3.4 El diseo deber ser fijado y verificado en el paso 3 (Safety Review Process) para
cumplir con el SIL objetivo especificado (ver Figura 7.1.3. Ciclo de Vida de
Seguridad SIS ejemplo). Finalmente antes del start-up el diseo final instalado debe
ser verificado y validado en el paso 4 (PSSR). La disponibilidad y fiabilidad de una
funcin de seguridad depender de los equipos y arquitectura seleccionada, del
intervalo y mtodo de test definido, del tiempo medio de reparacin de componentes
(MTTR) y de la cobertura de diagnstico y fallos de causa comn.
3.5 Todos los resultados obtenidos en los pasos de revisin de seguridad de cada etapa
(safety review) han de estar documentados.
4. Implementacin del Sistema Instrumentado de Seguridad
4.1 Slo deben utilizarse instrumentos y equipos de campo que estn aprobados por la
compaa y por tanto que formen parte de la lista estndar de equipos. Los equipos
que no formen parte de la lista estndar aprobada por la compaa solo podrn
utilizarse si:
- se puede demostrar que el equipo es un equipo proven in use (uso probado) en
una planta qumica sin haber tenido ningn fallo peligroso en el ltimo ao y
- es aceptado por el comit de expertos regional encargado de establecer las
normas y redactar las guas.
4.2 Si se utilizan las arquitecturas tpicas estndares aprobados por la compaa y los
equipos pertenecientes a la lista estndar, no ser necesario realizar los clculos de
disponibilidad ni fiabilidad de la funcin de seguridad. El estndar de la compaa ya
nos dar en funcin de los elementos escogidos los test de frecuencia permitidos,
MTTRs, y que valor SIL es alcanzado (ver captulo 7.6.4.1 Arquitecturas tpicas).
4.3 Todos los componentes de las SIF y componentes que son parte del SIS deben estar
claramente marcados. En la documentacin se diferencian como elementos Clase A,
y en campo utilizando distintivos fsicos.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
210
4.4 Si se hubiesen de hacer clculos de PFD (probabilidad de fallo en demanda) o SFF
(fraccin de fallo seguro) estos debern ser aprobados por el ingeniero cualificado
experto en SIS asignado al proyecto.
4.5 No se usarn arquitecturas de un solo canal para SIL 3.
4.6 Se utilizar el principio de desenergizar para paro de seguridad.
4.7 Slo se utilizarn PLCs de seguridad (PES) que estn certificados por un organismo
independiente (TV por ejemplo), que logren el SIL adecuado y estn aceptados en
la lista estndar de equipos de la compaa.
4.8 El DCS no soportar funciones de seguridad. Si existe alguna seal que tenga que ser
compartida con el DCS, un fallo en el DCS no debe afectar al sistema de seguridad.
4.9 Las funciones de seguridad sern tan simples como sea posible.
4.10 Una funcin que provoca un disparo del sistema de seguridad no se resetear
automticamente cuando recupere su valor normal, tendr que ser peseteada por
operacin una vez la situacin se d por controlada.
4.11 Se utilizarn valores analgicos en vez de digitales siempre que sea posible.
4.12 Siempre que sea posible se implantarn medidas de diagnstico online a fin de
aumentar la cobertura diagnstico. (por ejemplo comparacin de canales).
5. Validacin
5.1 Cada una de las funciones instrumentadas de seguridad ser validada en el sitio
(pruebas SAT), y aprobada por la compaa. Los resultados se documentarn (paso 4,
PSSR).
5.2 Los resultados de las pruebas de aceptacin en fbrica (FAT) de la lgica del PLC de
seguridad no son necesarios revalidarlos en planta si no ha habido modificaciones en
el programa despus de las pruebas FAT.
6. Mantenimiento
6.1 El mantenimiento y test de lazos se realizar de acuerdo a los resultados obtenidos y
fijados en la especificacin y revisin de seguridad. Todas las actividades de
mantenimiento se documentarn.
6.2 Cualquier fallo ocurrido en una SIF ha de ser estudiado y documentado, as como
comunicada la accin correctiva implementada. Todos los fallos reportados se
recopilan en una base de datos para evitar que el problema afecte a nuevas
instalaciones y poder obtener una base de datos ms fiable.
6.3 Cualquier fallo en el SIS debe ser reparado lo antes posible.
En la primera fase de la ingeniera y diseo del SIS, lo que se denomina diseo
conceptual es cuando debemos establecer la estrategia de con qu tipo de arquitectura y
componentes se pretende alcanzar los diferentes valores meta SIL. Otras variables que
impactan en alcanzar el valor SIL meta como test de pruebas, fallos de causa comn,
cobertura de diagnstico, etc. Estn reflejados en las especificaciones de los requisitos de
seguridad, documento que sirve de arranque para realizar la ingeniera y diseo del SIS.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
211
7.6.4.1 Arquitecturas tpicas
Pgina intencionadamente en blanco:
Tratamiento confidencial
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
212
7.6.4.2 Desviacin de las arquitecturas tpicas
Como ya se ha comentado los sistemas instrumentados de seguridad pueden diferir
de las arquitecturas tpicas recomendadas por la compaa por diferentes razones:
1. El lazo no puede ser probado cada 12 meses por motivos de produccin, ya que
el test del lazo implica un paro de parte o del total de la planta con la consecuente
prdida de produccin. Normalmente ocurre en diversos equipos en plantas
continuas.
2. La funcin de seguridad no puede ser implementada con una arquitectura tpica.
Puede darse el caso que la funcin de seguridad precise de ms grupos de
sensores y/o actuadores.
3. Uso de equipos y/o instrumentos no aprobados por la compaa, equipos que no
se encuentran en la lista estndar de la compaa.
En todos estos casos se requiere realizar una evaluacin por parte de un equipo de
expertos (ver captulo 6. Gerencia de la Seguridad Funcional) que normalmente debe estar
compuesto por miembros de las siguientes reas:
Ingeniera de procesos: quien es conocedor de las propiedades del producto y de
los riesgos a reducir, normalmente el ingeniero de planta o proceso.
Ingeniero E&I (Electricidad e instrumentacin): normalmente el ingeniero E&I
responsable del mantenimiento de la planta.
Expertos tcnicos: personal experto en los equipos a utilizar, personal de taller
especialista en la unidad a tratar (compresores, bombas, unidades de destilacin,
etc.).
Si fuese necesario expertos en Sistemas Instrumentados de Seguridad y SPLC.
Este equipo deber tratar y resolver los siguientes puntos:
Evaluar la experiencia que se tiene de los equipos y configuraciones a utilizar en
aplicaciones idnticas o similares de la misma planta o de otras plantas con
productos comparables, aprovechando tambin la experiencia adquirida en
aplicaciones no SIS. Evaluar la experiencia adquirida por el fabricante o por otras
compaas del sector. Es importante poder obtener datos de mantenimiento y
reparacin de los dispositivos, as como caractersticas de confiabilidad. Es decir
queremos llegar a utilizar unos componentes que puedan entrar en la categora de
proven in use.
Realizar un anlisis de fallos de los equipos de campo implicados, teniendo en
cuenta la influencia de los productos del proceso. Utilizando un check list
estndar.
Tomar medidas adicionales en los equipos considerados de manera que
aseguremos su confiabilidad y que los fallos sean suficientemente improbables,
sobre todo si el intervalo de test ha de ir ms all de 12 meses.
Realizar una estimacin cuantitativa del valor PDF, y ver que cumple el SIL
objetivo de la funcin de seguridad.
Todos los resultados y acuerdos alcanzados deben estar documentados.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
213
Hoy en da las grandes compaas qumicas y petroqumicas tienen multitud de
arquitecturas tpicas estudiadas y probadas as como un amplia lista estndar de equipos e
instrumentos que pueden ser utilizados en sus funciones de seguridad. El mayor problema
radica en poder mantener el intervalo de ensayo de funciones de seguridad en 12 meses,
sobretodo en plantas de operacin contina.
En los casos en que no es posible realizar un test de ensayo en un periodo inferior a
12 meses deberemos tomar las siguientes medidas.
Realizar una inspeccin visual anual que nos pueda indicar defectos visibles
externamente como suciedad, corrosin, etiquetado, solenoides con la ventilacin
limpia, etc.
Optimizar gestin de pruebas. El sistema ha de disearse de manera que podamos
probar el mayor nmero de componentes de una funcin de seguridad, por
ejemplo en una funcin de seguridad de corte rpido de suministro de vapor a una
turbina de vapor no podremos probar la vlvula de corte (implicara el paro de la
turbina), pero s que hemos de disear el sistema de forma que podamos probar
los enclavamientos que producen el cierre de la vlvula (presin de vapor,
sobrevelocidad del compresor, baja presin de succin del compresor, etc.). Las
paradas de produccin no esperadas se pueden utilizar para realizar pruebas de
seguridad y comprobar la efectividad de la vlvula, que es el nico elemento que
no podemos probar con la planta en marcha.
Aumentar el grado de redundancia del sistema. Esto permite alargar el periodo de
prueba de lazo manteniendo el mismo nivel SIL, disponibilidad de la funcin de
seguridad, aunque supone un sobrecoste.
Incrementar la cobertura de diagnstico de sensores y actuadores permite alargar
el periodo de prueba de lazo manteniendo la disponibilidad de la funcin de
seguridad.
Utilizar estructuras multicanal para los sensores permite realizar pruebas en cada
uno de ellos independientemente bajo el control de un procedimiento de test
apropiado.
En caso de actuadores y vlvulas.
Prevenir la contaminacin del aire de instrumentacin, que puede llevar al
bloqueo mecnico de la solenoide instalando filtros de aire a la entrada de cada
solenoide (mejor que un filtro a la salida del sistema de suministro de aire de
instrumentacin), utilizando lneas de acero inoxidable (evita la formacin de
xido), realizando una exhaustiva purga de las lneas antes de la puesta en
servicio de la planta o modificaciones realizadas en la planta para eliminar
impurezas, residuos y humedad en las lneas.
Evitar la introduccin de humedad y ambiente corrosivo en las lneas de aire para
evitar la corrosin de los actuadores (en concreto de los muelles) en las vlvulas
de control.
Para vlvulas de gran tamao que normalmente no operan (trabajan en demanda)
se ha de sobredimensionar el actuador ya que el par necesario para abrir/cerrar la
vlvula se ve incrementado cuando la vlvula no ha sido movida durante un
periodo largo.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
214
De aqu la importancia de poder realizar carrera parcial, PST (Partial Stroke
Test), moveremos la vlvula ligeramente de manera que no influya en demasa en
el flujo de paso y as comprobaremos el estado del actuador y vlvula y posibles
problemas que puedan haber.
Si la funcin instrumentada de seguridad no puede ser adaptada por un tpico
intentaremos simplificar la funcin. En este rediseo de la funcin ha de estar involucrado
el equipo de anlisis de riesgos ya que la funcin de seguridad se ver rediseada.
Podemos hacer las siguientes reflexiones gua para ver si es posible redisear la SIF:
Todos los interlocks, acciones de seguridad son realmente parte de la funcin
instrumentada de seguridad y todos son requeridos a la vez con idntica
disponibilidad? O puede que parte de estas acciones sean acciones
suplementarias de monitorizacin?
Se trata de una nica funcin de seguridad, es decir la funcin de seguridad
responde a varios peligros detectados independientemente que requieren acciones
iguales o diferentes?
Es posible proteger un equipo con diferentes funciones de seguridad,
protegiendo individualmente partes del equipo sin ver afectada la seguridad
global del equipo?
Los dispositivos de campo se usan en ms de un funcin instrumentada de
seguridad? Son estos necesarios para aumentar los requisitos de fiabilidad?
Finalmente si no utilizamos equipos y componentes estndar hemos de evaluar y
considerar la siguiente informacin:
Los documentos aportados por el fabricante, incluyendo los documentos del
sistema de calidad en el desarrollo y produccin del equipo.
Certificados existentes, por ejemplo certificados expedidos por un organismo
inspector aprobado y en conformidad con IEC 61508.
Informacin y experiencia aportada por otras empresas respecto a un uso
satisfactorio en aplicaciones idnticas o comparables.
Es positivo realizar una prueba del dispositivo por una unidad especializada antes
de su utilizacin.
Si tenemos alguna duda, realizar pruebas de test en intervalos de tiempo ms
cortos (6 meses).
Realizar un examen detallado del dispositivo en el taller cuando sea posible, por
ejemplo en la prxima parada.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
215
7.6.4.3 Clculo PFD
avg
1
Los clculos de PFD
avg
se realizan segn el modelo de ecuaciones simplificadas ya
comentado en captulo 7.6.3 Clculo PFD
avg
y MTTF
spurious
. Modelo ecuaciones
simplificadas y en concreto se utilizan las ecuaciones de las arquitecturas ms tpicas sin
tener en cuenta el aporte de los fallos sistemticos y de los mltiples fallos durante la
reparacin. S que valoraremos el trmino referente a los fallos de causa comn, ya que
son de los que ms datos se suele disponer y ms modelos y tablas existen.
En resumen utilizaremos generalmente las siguientes ecuaciones para arquitecturas
1oo1, 1oo2, 2oo3 que tpicamente son las ms utilizadas en industrias de procesos:
Configuracin 1oo1
=
2
TI
PFD
DU
avg
(4a)
Configuracin 1oo2
=
2 3
2 1
2
2 1
TI TI
PFD
DU DU DU DU
avg
(6a)
Configuracin 2oo3
+ + =
2 3
3
3 2 1
2
3 2 3 1 2 1
TI TI
PFD
DU DU DU DU DU DU DU DU DU
avg
(9a)
Donde ( ) DC
DU
i
= 1
Y donde el PFD
avg
de la funcin instrumentada ser:
+ + =
i FE LS i S SIS
PFD PFD PFD PFD
, ,
(1)
Dnde:
- PFD
SIS
es el PFD
avg
para la funcin de seguridad especfica SIF en el SIS.
- PFD
S
es el PFD
avg
del sensor para la funcin de seguridad especfica SIF en el SIS.
- PFD
FE
es el PFD
avg
del elemento final para la funcin de seguridad especfica SIF
en el SIS.
- PFD
LS
es el PFD
avg
del resolvedor lgico (PLC de seguridad) del SIS. Como regla
general si el PLC utilizado es un SPLC (PLC fail safe) su contribucin es despreciable, ya
que cualquier fallo nos llevar a una posicin de seguridad.
- i representa cada grupo de componentes que es parte de la especfica SIF.
Por lo que las nicas variables que necesito para el clculo del PFD
avg
son:
: tasa de fallos del dispositivo.
: factor de causa comn.
DC: Cobertura de diagnstico. Fraccin de fallos que son detectados por
diagnsticos no realizados por el elemento de campo, por ejemplo en el SPLC.
1
Ver captulo 7.6.3 ClculoPFD
avg
y MTTF
spurious
. Modelo ecuaciones simplificadas
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
216
TI: intervalo de tiempo entre pruebas de la funcin instrumentada de seguridad.
Si utilizamos las estructuras tpicas tratadas en este captulo podemos realizar una
aproximacin y asumir unos valores estndar de las variables que intervienen en el clculo
del PFD
avg
.
Si se asume el diseo de las funciones instrumentadas de seguridad utilizando
cualquiera de las arquitecturas tpicas descritas en el apartado anterior 7.6.4.1 y para
desviaciones en cuanto a la eleccin de los instrumentos se toman las medidas comentadas,
podemos realizar las siguientes aproximaciones para las variables que entran en el clculo
del PFD
avg
.
Valores estndar de tasa de fallo : Como se coment en anteriores captulos existen
varios mtodos para la obtencin de la tasa de fallo .
Obtencin de la tasa de fallo ideal, se trata de determinar la tasa de fallo en
condiciones ideales, es decir sin influencia ni del producto ni de las condiciones
ambientales. En este caso se determina realizando un gran nmero de
operaciones de prueba (p. ej. abrir y cerrar una vlvula 10000 veces) en un
laboratorio. En este caso el rango resultante de tasa de fallo suele estar entre
1/10000 y 1/1000 por ao.
Datos del fabricante en los que si se tiene en cuenta el producto del proceso a que
se dirige. Con ello se intenta evaluar la influencia del producto sobre la medida
de la tasa de fallo. En este caso la cifra ideal se ve empeorada. El resultado de
obtenido es dispar dependiendo del producto utilizado para el anlisis.
Valoraciones obtenidas de las compaas miembros de NAMUR
1
. NAMUR
realiza anualmente encuestas sobre los equipos utilizados en sistemas
instrumentados de seguridad por las compaas miembro y el resultado de
satisfaccin en fiabilidad y disponibilidad. Estos datos no solo incluyen el equipo
sino que tambin la influencia del producto que pasa a travs de ellos y la
ingeniera e instalacin realizada. Posiblemente sea una de las fuentes ms fiables
para la eleccin e instalacin de equipos de seguridad.
Utilizacin de bases de datos como EXIDA y OREDA (para evaluacin de datos
en plataformas offshore). En estas bases de datos encontramos equipos peores a
tasas de fallo de 1/100 al ao.
1
NAMUR se trata de una asociacin internacional de usuarios de tecnologia de automatizacin en
procesos industriales. www.namur.de
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
217
Pgina intencionadamente en blanco:
Tratamiento confidencial
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related
Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998
[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
218
7.7 Pruebas de aceptacin de fbrica (FAT, Factory Acceptance Test)
El apartado 13.1.1 de la norma ANSI/ISA 84.00.01-2004, y la clusula 13 de IEC
61511-Parte 1 define los objetivos de la realizacin de las pruebas FAT como el test del
sistema lgico junto con el software asociado para asegurar que satisface los
requerimientos definidos en las SRS (Especificaciones de los Requerimientos de
Seguridad) antes de ser instalado en la planta, de tal forma que posibles errores puedan ser
encontrados y corregidos. El estndar tambin nos da una serie de recomendaciones para la
realizacin de las pruebas FAT.
Quin participa en la realizacin de las pruebas FAT?
El nmero de participantes depende de la complejidad y tamao del sistema, pero en
general participar todo el personal involucrado en la construccin y verificacin del
sistema a probar, debindose definir las responsabilidades de cada participante en las
pruebas. Como mnimo se recomienda la participacin de:
Un representante de la casa contratista del sistema de seguridad, normalmente es
la persona que ha dirigido y ha tenido la responsabilidad del diseo y
programacin del sistema lgico (hardware y software incluyendo los interfaces
con otros sistemas), y que normalmente ser el encargado de liderar y coordinar
las pruebas y preparar los procedimientos de pruebas requeridos. Si hubiese
diferentes proveedores de subsistemas integradores del sistema podr participar
en las pruebas representantes de cada uno de ellos.
Un representante de la propiedad, normalmente el Ingeniero E&I encargado del
diseo del SIS. Ser quien aprobar junto con el ingeniero de proceso los
procedimientos de las pruebas FAT redactados por la empresa suministradora del
sistema.
El usuario final, como personal de operacin y mantenimiento.
Qu debe ser probado?
Todo el hardware del sistema lgico, mdulos de entradas y salidas, terminales,
cableado interno, procesadores lgicos, mdulos de comunicacin, redundancia
del sistema, interfaz con el operador, etc.
Auto switchover, bypass y redundancia.
Software y programa lgico.
Las pruebas deben estar basadas en procedimientos documentados aprobados por el
suministrador del equipo o sistema y por el usuario final. Como criterios ms usuales,
aunque no nicos para la realizacin de las pruebas FAT destacamos:
Inspeccin visual del sistema.
Inyectar seales de entrada (digitales, 4-20 mA, pulsos, termopares) y observar la
respuesta del sistema.
Forzar valores de salidas analgicas o digitales.
Crear diferentes escenarios de fallos para ver la respuesta de los backup del
sistema (redundancia de buses de comunicacin, tarjetas entrada/salida,
controladores redundantes, etc.).
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
219
Simulacin lgica para realizar una prueba completa de la lgica. Es decir,
probar la funcionalidad del sistema lgico (PLC de seguridad) y la interfaz con el
operador sin que las entradas/salidas de campo se encuentren conectadas. La
prueba debe realizarse antes de la instalacin en campo y para la simulacin se
utilizar la misma interfaz del operador que se utilizar en el sitio (en planta). El
sistema debe probarse al 100%.
Existen diferentes formas de realizar una completa comprobacin de la funcionalidad
de la lgica. Podemos hacerlo cableando los mdulos de entradas y salidas a switches,
generadores 4-20 mA, paneles de lmparas piloto, todo etiquetado como los equipos de
campo. Simular estados de operacin por los switches (seales discretas) y por los
generadores 4-20 mA (seales analgicas) y ver los resultados por las lmparas piloto, todo
ello se comparara con la matriz causa efecto de funcionalidad con el fin de verificar la
operabilidad del sistema. Otra forma de realizar la prueba total es mediante un programa de
simulacin separado de la lgica principal que nos crea un enlace entre las salidas del
programa principal y las entradas del simulador, por ejemplo utilizando un PC conectado al
SIS y que contiene el programa de simulacin.
Si durante las pruebas FAT se detecta algn error y requiere alguna modificacin, ha
de estudiarse que impacto provoca la modificacin sobre la integridad del SIS, por lo que
es posible tener que rehacer clculos de integridad (PFD) de las funciones afectadas.
La importancia de realizar unas pruebas de la lgica y equipo de control de seguridad
antes de la instalacin en campo conlleva una serie de beneficios que ayudan a resolver
problemas y evitan prdidas de tiempo como:
El sistema hardware y software es revisado y probado en un entorno libre de
estrs al estar fuera de la planta donde va a ir instalado.
Cualquier problema que se encuentre puede resolverse con ms facilidad al
disponer de mayores recursos tcnicos al realizar las pruebas en casa del
fabricante.
Las pruebas FAT suponen un entrenamiento para el personal usuario del sistema
que est involucrado en las pruebas (normalmente responsables de
mantenimiento y de operacin).
Se adquiere conocimiento del sistema por parte del personal usuario del sistema,
pudiendo clarificar malentendidos.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
7.8 Instalacin y Comisionado
En esta fase del proyecto es cuando llega la hora de instalar y comisionar el sistema
instrumentado de seguridad que se ha diseado cuidadosamente. En muchos proyectos se
puede decir que marca un hito, un punto de entrega, donde el personal de ingeniera pasa el
diseo del sistema al contratista para su instalacin.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
220
En esta etapa se debe garantizar que el sistema instrumentado de seguridad se instale
de acuerdo con el diseo y opere de acuerdo a la especificacin de los requerimientos de
seguridad. Antes de que el sistema sea llevado al sitio debe ser probado hasta su correcta
operacin, una vez en el sitio, el contratista (instalador) debe verificar que el sistema
instalado est de acuerdo al diseo incluyendo los dispositivos de campo. Una vez el
sistema est instalado se debe realizar una validacin del sistema o pruebas SAT (Pruebas
de Aceptacin en Sitio) y tambin lo que se conoce como PSAT (Pre-Start Acceptance
Test, captulo 7.8.1), arranque en frio.
La figura siguiente muestra una secuencia de pruebas y validacin para la instalacin
y puesta en marcha del sistema SIS segn la IEC 61511.
Cualquier cambio o modificacin que se realice en algn equipo especfico del SIS
durante la instalacin, comisionado o PSAT requiere volver a realizar el estudio de
seguridad correspondiente y debe estar debidamente documentado y consensuado.
La instalacin del sistema incluye todos los elementos hardware relacionados con el
SIS como sensores, elementos finales de control, cableado de campo, cajas de conexiones,
armarios de instrumentacin, PLC de seguridad, interfaces con el operador, sistemas de
alarmas, etc.
Para garantizar una correcta instalacin y comisionado del sistema el contratista debe
proporcionar y establecer unas pautas y puntos de trabajo como:
Las actividades de instalacin y comisionado.
Procedimientos, tcnicas y medidas a usar para la instalacin y comisionado.
Planificacin de esas actividades.
Personas, departamentos y organismos responsables para esas actividades.
Y como requerimientos generales relacionados con el proceso de instalacin se
recomienda:
Considerar la instalacin del SIS de manera separada a otros trabajos elctricos o
de instrumentacin de otros sistemas que puedan tener lugar, aunque el
contratista ejecutor de la instalacin sea el ejecutor de estos otros trabajos. De
esta manera minimizaremos posibles problemas de causa comn en la instalacin
y se refuerza la visin de criticidad del sistema de seguridad que se instala.
Asegurar que el diseo entregado al contratista esta completo y correcto. Es
importante que el contratista este altamente cualificado y experimentado en este
tipo de instalaciones.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
221
Todos los dispositivos y equipos deben ser instalados segn las recomendaciones
de los fabricantes y de manera que permitan un fcil acceso para mantenimiento y
pruebas.
El contratista no debe realizar ningn cambio de material sin ser autorizado y
aprobado por la ingeniera del sistema.
El contratista no debe realizar ningn cambio en la calibracin de los equipos de
campo existentes.
Proteger los dispositivos y equipos de campo de daos fsicos y
medioambientales antes de la instalacin.
El comisionado asegura que el SIS se ha instalado conforme al diseo detallado.
Constituye un chequeo fsico que confirma que los equipos, dispositivos y cableados se
encuentran instalados de acuerdo al diseo y que los dispositivos de campo son operativos
y por tanto el sistema est listo para realizar las PSAT (Pre-Start Acceptance Test), para
poder concluir con la validacin del sistema.
El chequeo de la instalacin se puede separar en dos diferentes fases:
1. Comprobacin del dispositivo y cableado de campo. Se trata de comprobar como
el dispositivo de campo esta fsicamente instalado, cableado, continuidad en el
cableado, cajas de conexiones, etiquetado, terminales, etc. Normalmente el
contratista termina esta fase sin energa en el sistema y por tanto sin comprobar
funcionalidad.
2. Comprobacin funcional de los equipos y dispositivos. Comprobacin funcional
de los dispositivos de campo y del sistema lgico despus que el SIS ha sido
conectado y energizado.
El propsito final es confirmar que:
Las fuentes de energa son operativas.
Los equipos y cableado han sido adecuadamente instalados.
Los instrumentos han sido adecuadamente calibrados.
Los dispositivos de campo son operativos.
El PLC de seguridad y los mdulos entrada/salida son operativos.
Existen varias publicaciones IEC que contienen procedimientos y formularios para
llevar a cabo las comprobaciones mencionadas y que ayudan a asegurar la correcta
instalacin y chequeo de los dispositivos como la IEC62381 ed. 1.0 2004. Activities during
the factory acceptance test (FAT), site acceptance test (SAT) and site integration test (SIT)
for automation systems in the process industry.
SAT
1
(Pruebas de aceptacin en el sitio): Inspeccin y pruebas en la planta para
validar que el sistema instrumentado de seguridad instalado, as como sus funciones
instrumentadas de seguridad, logran cumplir las especificaciones de los requerimientos de
seguridad. Ver captulo 7.8.1 PSAT (Pre-Start Acceptance Test).
1
SAT (Site Acceptance Test).
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
222
SIT
1
(Pruebas de integracin en el sitio): Una vez completadas las pruebas SAT del
SIS, se integran las comunicaciones entre BPCS y el SIS, as como cualquier otro tipo de
comunicacin. El sistema integrado es probado como uno solo para garantizar que trabaja
adecuadamente. Las seales del SIS, diagnsticos, alarmas desplegadas en las pantallas de
control del BPCS (HMI) deben ser probadas.
A continuacin se muestra un esquema a modo de informacin de las diferentes
etapas para la correcta integracin del sistema BPCS y SIS.
7.8.1 PSAT (Pre-Start Acceptance Test)
En esta etapa del proyecto es cuando se valida el SIS instalado en la planta, por esta
razn tambin se conoce como validacin de seguridad funcional total del sistema de
seguridad, o lo que ms comnmente se nombra como SIS safety validation. El principal
objetivo de esta etapa es confirmar que el sistema instalado y comisionado o bien
modificado y sus funciones instrumentadas de seguridad asociadas alcanzan y cumplen los
requerimientos especificados, incluyendo la funcionalidad del sistema lgico. Las pruebas
PSAT han de certificar el correcto funcionamiento del SIS antes de ser operacionalmente
funcional.
Las PSAT proporcionan un test funcional completo del SIS para comprobar la
conformidad con las especificaciones de seguridad solicitadas.
Para realizar la validacin, una buena prctica esta en definir un plan de las
actividades a realizar durante la PSAT, teniendo en cuenta las siguientes consideraciones:
Las especificaciones de los requisitos de seguridad incluyendo la implementacin
y resolucin de recomendaciones.
Validacin de todos los modos de operacin del proceso y sus equipos asociados
incluyendo:
Preparativos del SIS para su uso incluyendo ajustes y reglajes de equipos.
Modos de operacin: arranque, automtico, manual, estado normal de
operacin.
Reajustes, paros y mantenimiento.
Las condiciones no normales de operacin previsible que son obtenidas a
travs del anlisis de riesgos (HAZOP).
Personal y departamentos responsables de las actividades de validacin.
Procedimientos y tcnicas a utilizar durante la validacin.
Referencia e informacin de los puntos sobre los que se realizarn pruebas para
validar el sistema.
1
SIT (Site Integration Test).
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
223
Como ejemplos de actividades de validacin tenemos:
Las pruebas de lazo.
Procedimientos de calibracin.
Simulacin del software de aplicacin.
Etc.
Las actividades de validacin del sistema han de confirmar el correcto
funcionamiento del sistema antes de proceder a poner el sistema en operacin. Las
actividades PSAT estarn dirigidas, como mnimo, a comprobar las siguientes
funcionalidades del sistema:
El sistema funciona correctamente en modo de operacin normal y en modo de
operacin no normal como arranque, paro de planta, mantenimiento, etc.
El sistema SIS comunica correctamente con el sistema bsico de control (BPCS)
o con cualquier otro sistema de control o red y que no se ve afectada su integridad
funcionalidad.
Los sensores, procesador lgico y elementos finales, realizan correctamente su
funcin de acuerdo con las especificaciones de los requerimientos del diseo.
La documentacin del sistema instrumentado de seguridad es consistente con el
sistema instalado y con los procedimientos de operacin.
Los sensores activan los puntos de disparo (trip points) definidos en las
especificaciones de los requerimientos de seguridad.
Confirmacin de que las funciones de seguridad se realizan como se especifica
para valores no vlidos de variables de proceso, por ejemplo valores fuera de
rango.
La secuencia de paro, cuando se activa, es la correcta.
Cualquier evento que sucede en el SIS ofrece una correcta visualizacin al
operador.
Las funciones de bypass y restablecimiento funcionan correctamente.
El restablecimiento (reset) de las funciones de seguridad una vez han sido
activadas se realiza segn las especificaciones del diseo.
Los sistemas de disparo manual (manual shutdown) funcionan correctamente.
Confirmacin de que fallos, o actuaciones incorrectas en el sistema de control
bsico (BPCS) u otros sistemas no afectan la funcionalidad del SIS.
Comprobacin de la funcionalidad segn las especificaciones requeridas de
diseo del SIS ante eventos de prdida de energa o fallo de algn suministro de
energa (elctrica, aire de instrumentacin, etc.) y posterior retorno al estado
deseado una vez la energa es restablecida y la funcin de restablecimiento es
activada.
Operacin correcta de las funciones de alarma y diagnstico.
Los intervalos de prueba de las funciones de seguridad estn documentados en
procedimientos de mantenimiento segn el SIL requerido.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
224
Todos los equipos usados para la calibracin y pruebas deben presentar certificados
de calibracin por parte del contratista encargado de realizar las PSAT o bien por parte de
la propiedad si fuese el caso.
La documentacin requerida una vez realizado el comisionado y las pruebas PSAT
dependen de la complejidad del sistema de seguridad y de los documentos elaborados por
el equipo del diseo, pero como mnimo la documentacin debe incluir de forma general:
Identificacin de que el SIS ha sido probado.
Confirmacin de que el comisionado esta completado y finalizado.
Fecha de realizacin de las PSAT.
Aceptacin por parte de la propiedad. Firma autorizada que confirma que las
PSAT han sido realizadas y completadas satisfactoriamente.
Referencia de los procedimientos utilizados en las PSAT.
Normalmente cuando un sistema completo se est probando es necesario realizar y
seguir procedimientos detallados de pruebas, por lo que habitualmente precisaremos de la
siguiente documentacin como apoyo a la validacin del SIS, aparte de la documentacin
mnima mencionada anteriormente:
Procedimientos de validacin.
Copia de las especificaciones de los requisitos de seguridad.
Listado de la programacin del PLC de seguridad.
Diagrama de bloques del sistema.
Lista completa de entradas/salidas.
Diagramas de proceso e instrumentacin (P&ID).
ndice de instrumentos.
Hojas tcnicas de los equipos.
Diagramas de lazo.
Esquemas elctricos.
Configuracin del sistema bsico de control (BPCS) para cualquier entrada/salida
del SIS.
Planos de implantacin de los principales equipos.
Diagramas de conexiones en cajas de conexin y armarios, as como las
interconexiones y terminales de todo el cableado.
Diagrama de tubings y sistema neumtico.
Documentacin del fabricante de los equipos, incluyendo manuales.
Si durante las pruebas PSAT existiese alguna discrepancia y no se cumpliese con los
requisitos establecidos durante el diseo se deben estudiar las implicaciones sobre la
integridad del sistema que conlleva y evaluar si es necesario regresar a alguna etapa
anterior del ciclo de vida de seguridad. Si el fallo es debido a algn problema con los
equipos, se debe documentar el fallo y corregirse.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
225
En esta etapa del ciclo de vida de seguridad ya hemos comprobado que el sistema
instrumentado de seguridad trabaja correctamente segn las especificaciones requeridas.
Aqu finalizara la fase Realizacin o Implementacin, con el SIS instalado y listo para
ser puesto en servicio. Solo nos quedara comprobar que el plan de mantenimiento este
realizado y sea acorde con los periodos establecidos en las SRS y realizar una ltima
revisin de seguridad llamada PSSR (Pre-Start Safety Review) para poder poner en
servicio el SIS (Captulo 7.9 Operacin y Mantenimiento).
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[4] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com
7.9 Operacin y Mantenimiento
Se trata de la fase ms larga del ciclo de vida del SIS, es el periodo durante el cual la
planta es operativa. Es importante realizar una poltica de mantenimiento y operacin
adecuada que garantice que el SIL de cada SIF no se degrada y se mantiene dentro de los
lmites especificados y que la seguridad funcional del sistema instrumentado de seguridad
se mantiene dentro de las especificaciones de integridad de seguridad requerida. Por lo que
se considera que el mantenimiento del SIS es una de las partes ms importantes a realizar
durante la operacin de la planta con el fin de garantizar que el SIS no se ha deteriorado o
degradado, manteniendo el nivel de integridad especificado.
7.9.1 Procedimientos de operacin y mantenimiento
Antes de poner en marcha el sistema instrumentado de seguridad (start up) y en
paralelo con el desarrollo de la ingeniera y diseo del sistema, se han de haber
desarrollado y aprobado los procedimientos de operacin y mantenimiento (ver ciclo de
vida de seguridad, captulo 7.1), as como haber establecido unas pautas de entrenamiento
del personal de operacin y mantenimiento. Estos procedimientos y entrenamiento del
personal son requisitos bsicos para la validacin del SIS y posterior puesta en marcha.
La norma IEC 61511 clusula 16 requiere que haya una planificacin de operacin y
mantenimiento para el sistema instrumentado de seguridad, que incluya los procedimientos
para trabajar con el plan de mantenimiento y operacin establecido.
El plan de mantenimiento detallar de manera escrita los procedimientos para
realizar mantenimiento, pruebas y reparacin del SIS a fin de mantener el nivel de
integridad de seguridad requerido y definido a lo largo de su vida til. El plan de
mantenimiento ha de disearse de tal forma que permita revelar problemas que el SIS no
detecta automticamente. Entre los procedimientos que debe incluir un programa de
mantenimiento del sistema instrumentado de seguridad destacamos:
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
226
Planificacin regular de pruebas funcionales
1
(proof testing) de las funciones de
seguridad segn el intervalo de pruebas definido para alcanzar el SIL objetivo de
cada funcin (normalmente anual).
Mantenimiento planificado e inspeccin del PLC de seguridad. Cambio de
bateras de la CPU, cambio de filtros de ventilacin de equipos y armarios, test de
las fuentes de alimentacin e inspeccin visual del equipo segn
recomendaciones del fabricante con el fin de mantener la fiabilidad del equipo.
Una buena prctica es realizar un contrato de mantenimiento con el fabricante
que gestione y supervise el mantenimiento del equipo en coordinacin con el
ingeniero E&I de la planta. Los fabricantes disponen de sus propios planes de
mantenimiento y son quienes mejor conocen sus equipos y de esta manera
siempre nos mantendrn informados de posibles upgrades y del ciclo de vida
del hardware y software del equipo PLC de seguridad.
Mantenimiento planificado e inspeccin de sensores, elementos finales de
control, cableado y alimentacin de aire a vlvulas.
Procedimiento de pruebas despus de realizar la reparacin de fallos detectados
con la realizacin de pruebas.
Personal y departamentos responsables para estas actividades.
El plan de operacin detalla de manera escrita procedimientos para que el SIS
proporcione el nivel de reduccin de riesgo requerido. Detallar la manera correcta de
operar el SIS, estos procedimientos suele estar incluidos en el procedimiento de operacin
de cada unidad de planta. Un plan de operacin cubre temas como:
Actividades operacionales de rutina, vlvulas de carrera parcial, pruebas de
instrumentos redundantes, etc.
Actividades operacionales anormales, como pasos a seguir cuando un transmisor
SIS falla, que se debe hacer si mantenimiento trabaja en una vlvula de bloqueo
mientras la produccin contina, etc.
Conocimiento de los lmites de operacin segura (puntos de disparo) y que
implicaciones conlleva, as como se debe actuar en caso de alarma o disparo del
SIS.
Como el SIS lleva el proceso a un estado seguro.
Correcto uso de bypass de operacin, permisivos, reset de sistemas, etc.
Personal y departamentos responsables para estas actividades.
Los procedimientos de operacin y mantenimiento son desarrollados para explicar
mtodos correctos y seguros de operar y mantener el SIS. Estos procedimientos, aunque no
los nicos, suelen ser los siguientes:
Procedimientos de acciones rutinarias necesarias para mantener la seguridad
funcional del SIS tal y como se dise, por ejemplo los intervalos de pruebas de
lazos y funciones definidos al determinar el SIL correspondiente, pruebas de
vlvulas de carrera parcial y pruebas de aceptacin total del lazo completo.
1
Ver captulo 7.9.3 Pruebas funcionales del SIS (proof. testing)
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
227
Procedimientos de acciones a tomar para prevenir estados inseguros o reducir las
consecuencias de un estado peligroso durante la realizacin de mantenimiento o
desvos de operacin, por ejemplo cuando un sistema necesita ser bypaseado para
la realizacin de pruebas o mantenimiento.
Procedimientos de acciones a tomar a alarmas y disparos en demanda o en falso
del SIS, investigacin, anlisis y reporte del disparo. Procedimientos de
restablecimiento y de reinicio del sistema.
Procedimientos que aseguran el correcto funcionamiento de los equipos del SIS.
Procedimientos de cmo mantener los resultados de las pruebas realizadas en el
SIS.
Procedimientos de mantenimiento de cmo actuar en caso de detectar fallos en
cualquier parte del SIS, procedimientos de reparacin y diagnstico, de
revalidacin, presentacin de informes de lo ocurrido, etc.
Procedimiento que asegure que los equipos utilizados en pruebas y
mantenimiento estn correctamente calibrados.
Dependiendo de la complejidad del SIS, procedimientos de como el SIS lleva el
proceso a un estado seguro, dependiendo del disparo ocurrido.
Incluso la mejor planificacin no puede prever todos los eventos, por lo que los
procedimientos podrn requerir revisin eventualmente. Esta revisin generalmente
seguir a pruebas y auditorias de seguridad funcional del sistema de seguridad, y se
realizar con los datos recopilados por el departamento de mantenimiento.
Requerimientos de formacin. El personal de operacin y mantenimiento debe
estar completamente formado, entrenado y evaluado en todos los aspectos de los planes y
procedimientos y su competencia debe estar documentada y se debe mantener actualizada.
Generalmente el personal de mantenimiento, operacin e instrumentacin realizar cursos
de operacin y mantenimiento del Sistema Instrumentado de Seguridad. Estos cursos
deben considerar la filosofa de operacin, del mantenimiento preventivo, predictivo y de
las pruebas de diagnosis del SIS, interpretacin de fallos y diagnsticos, operacin del
software de control, supervisin y alarmas, arranque y puesta en servicio del sistema, etc.
Por tanto los operadores estarn capacitados en funcin y operacin del SIS, y su
formacin asegurar el conocimiento de:
Como se realizan las funciones del SIS (puntos de disparo y acciones resultantes
que toma el SIS).
Los riesgos contra los que protege el SIS.
Operacin y consecuencia de todos los bypass y bajo qu circunstancias deben
ser aplicados.
Cuando y bajo qu circunstancias se ha de realizar un paro manual y que
afectacin recibe la planta, incluye el reset del sistema y el rearranque del sistema
para que funcione de manera segura otra vez.
Acciones a tomar bajo la activacin de cualquier alarma del SIS.
El operador debe comprender los requisitos de prueba del SIS y que ocurre si se
retrasan las pruebas.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
228
El personal de mantenimiento estar capacitado para mantener el SIS funcionalmente
operativo, manteniendo su integridad objetivo (SIL). Para ello debe estar capacitado para:
Tener conocimientos de programacin bsica y configuracin del SIS.
Analizar, entender y aplicar la lgica del SIS.
Entendimiento de los requerimientos operacionales del sistema desde la
perspectiva de operacin y desde la perspectiva de los ingenieros a cargo del SIS.
Entendimiento de los estndares y normas existentes referidos al uso del SIS,
incluido las guas propias que establece la compaa.
A lo largo del desarrollo del SIS se dan diferentes oportunidades y medios que
pueden aprovecharse para realizar una formacin bastante efectiva, estas son:
Preparacin de las especificaciones de los requisitos de seguridad.
Realizacin de las pruebas FAT.
Simulacin de la lgica.
Aula de formacin.
Cursos especficos de equipos.
Manuales.
Etc.
La norma OHSA 29 CFR 1910.119 (Process Safety Management of Highly
Hazardous Chemicals) define requisitos para la formacin y entrenamiento sobre sistemas
de seguridad.
7.9.2 PSSR (Pre-Startup Safety Review)
Una vez el SIS ha sido instalado y antes de la puesta en marcha del sistema se ha de
realizar una revisin de seguridad (Paso 4 del ciclo de vida de seguridad SIS y etapa 3
recomendada por la IEC 61511) (Ver captulo 6.2.2 y captulo 7.1). La subclusula
5.2.6.1.1 de ANSI/ISA 84 y la IEC 61511 1-3 indica que un procedimiento deber ser
definido, ejecutado y evaluado en una evaluacin de la seguridad funcional, de tal manera
que se pueda tener juicio en cuanto a la seguridad funcional y la integridad de seguridad
alcanzado por el sistema instrumentado de seguridad. El procedimiento requiere ser
aprobado por un equipo de evaluacin designado que incluye expertos necesarios en la
aplicacin, en la tcnica y en la operacin para la instalacin en particular. Como en todo
equipo de evaluacin de seguridad como mnimo ha de haber una persona snior
competente (ingeniero E&I con experiencia en SIS) no involucrada en el equipo de diseo
del proyecto
La PSSR incluir las siguientes actividades del SIS:
Verificacin que el SIS fue diseado, instalado y probado de acuerdo a las
especificaciones de los requerimientos de seguridad (SRS) y que cualquier
diferencia ha sido identificada y resuelta.
Los procedimientos de seguridad, operacin, mantenimiento y emergencia
pertenecientes al sistema instrumentado de seguridad estn en su lugar y son los
adecuados.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
229
Las recomendaciones derivadas de la evaluacin de peligros y riesgos que
aplican al SIS han sido implementadas y resueltas.
Los cambios de diseo durante el proyecto han sido procedimentados, estn en su
lugar y han sido implementados.
Las recomendaciones derivadas de evaluaciones y revisiones sobre seguridad
funcional han sido resueltas.
La formacin y entrenamiento del personal involucrado con la operacin y
mantenimiento del SIS se ha completado.
Todos los resultados de las actividades han de ser documentados y firmados por el
director de la planta y por el ingeniero E&I. Una vez realizada la prueba de validacin el
SIS es entregado por parte del ingeniero de diseo y mantenimiento a operacin y en
concreto al plant manager (director de planta) para comenzar con la etapa de arranque,
operacin, mantenimiento, segn los procedimientos realizados, y pruebas funcionales
peridicas. (ANEXO O: PSSR)
7.9.3 Pruebas funcionales del SIS (Proof Testing)
1
El requerimiento bsico para realizar las pruebas funcionales del sistema est en
asegurar que las funciones de seguridad SIF y por tanto el SIS sigue cumpliendo con la
reduccin de riesgo para el que fue diseado, es decir, sigue cumpliendo el SIL objetivo
deseado.
Ya en la fase de diseo se tienen en cuenta unos requerimientos especficos de test y
mantenimiento como el intervalo de test (captulo 7.5.12 Mantenimiento y pruebas
funcionales) y es en esta fase donde se han de desarrollar los procedimientos de pruebas de
funcionamiento para cada funcin instrumentada de seguridad con el fin de revelar fallos
no detectados por diagnsticos (covert faults) que hacen que la funcin de seguridad no
opere de acuerdo con las especificaciones de los requisitos de seguridad establecidos.
Los procedimientos de cada prueba funcional describir todos los pasos a realizar
para cada funcin instrumentada de seguridad e incluir pruebas de:
Funcionamiento correcto de cada sensor (calibracin incluida) y elemento final.
Realizacin correcta de la accin lgica.
Monitoreo correcto de alarmas e indicaciones.
Las pruebas funcionales (test de funcionamiento) han de realizarse segn los
procedimientos y con una periodicidad establecida, normalmente un ao (no excediendo
nunca de cinco aos). Como aspectos fundamentales considerados para establecer una
frecuencia de pruebas y que se recoge en las especificaciones de los requisitos de seguridad
(SRS) tenemos:
Reduccin de riesgo requerido.
Fiabilidad de los componentes utilizados en el SIS.
1
En el captulo 7.5.12 Mantenimiento y pruebas funcionales se di una visin general del porque de
estas pruebas, como inciden en el clculo del nivel de integridad de seguridad objetivo deseado y como
establecer un periodo de pruebas que se ajuste a las necesidades del sistema y de la planta.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
230
Requerimientos especficos de la planta (condiciones ambientales, de proceso,
etc.).
Arquitectura de la SIF (redundancia).
7.9.3.1 Metodologa de test
El test debe ser realizado de manera que refleje las condiciones de trabajo de una
manera lo ms realista posible.
Siempre que sea posible se har la prueba del lazo completo, sensor, lgica SPLC y
actuador.
Cualquier bypass que sea necesario para la realizacin de las pruebas funcionales
debe estar procedimentado para mantener el estado seguro del proceso. En plantas
continuas es un elemento comnmente utilizado.
Peridicamente se deben realizar inspecciones visuales, fuera del intervalo de prueba
que marca el procedimiento, para asegurar que los elementos de seguridad no sufren
deterioros (tornillera defectuosa, cableado en estado precario, bandejas y conductos rotos,
calorifugado en mal estado, perdida de etiquetado de seguridad, soportacin en mal estado,
etc.) y que no se ha realizado ninguna modificacin no autorizada.
El test debe realizarse cuando establezca el plan de mantenimiento de pruebas
peridicas de las SIF y siempre despus de realizar una reparacin, sustitucin, etc., de
algn dispositivo o elemento de la SIF. Asimismo si temporalmente se ha parado la planta
y antes de la puesta en marcha.
Una vez realizado el test, toda la informacin relevante ser documentada. Para ello
es recomendable tener unas hojas de test que nos sirvan de gua para no descuidar ningn
elemento en la prueba. Por tanto para la realizacin de las pruebas funcionales de
seguridad de las funciones instrumentadas de seguridad se requiere seguir un
procedimiento escrito y llenar unas hojas de test para documentar el estado de la prueba
realizada.
Cualquier deficiencia encontrada durante la prueba debe ser corregida de manera
segura y rpida.
La frecuencia de test de algunos lazos ser reevaluada con el fin de ajustar a una
realidad que obtenemos de la experiencia de nuestro proceso y planta, obtenida por varios
factores como datos histricos de test, experiencia en de la planta, degradacin de los
dispositivos utilizados, fiabilidad del software, etc.
El ingeniero de mantenimiento de electricidad e instrumentacin (E&I engineer) de
la planta es el responsable de desarrollar el procedimiento especfico de pruebas, de
planificar y coordinar las pruebas y finalmente de validarlas.
Las pruebas sern realizadas por los tcnicos instrumentistas bajo la supervisin del
ingeniero E&I, siendo los responsables de realizar los trabajos segn especifica el
procedimiento.
El jefe de operacin o ingeniero de operacin junto con el personal de operacin de
la planta son los responsables de mantener la planta en estado seguro mientras se realiza el
test.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
231
7.9.3.2 Documentacin
El ingeniero E&I archivar todos los informes, se recomienda en formato electrnico
y en papel, que certifican que las pruebas funcionales de seguridad e inspecciones han sido
realizadas como es requerido. Los informes, como mnimo, deben contener la siguiente
informacin:
Nmero Tag.
Intervalo de test.
Descripcin del test e inspeccin realizada.
Fecha de realizacin del test e inspeccin.
Firmas de las personas que realizan el test e inspeccin.
Firmas del ingeniero de planta E&I y del Plant Manager.
Resultado del test e inspeccin.
(ANEXO N: Pruebas de Lazo Clase A)
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[4] Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[5] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com
7.10 Modificacin del SIS durante operacin
A lo largo de toda la vida de operacin de la planta es inevitable que se realicen
cambios. Cambios en el proceso, en equipos, en tecnologa, software, procedimientos,
incluso seguridad. Cualquier cambio que se realice, sin importar la magnitud del cambio y
que afecte a la seguridad de la planta ha de ser manejado y dirigido con sumo cuidado ya
que pueden tener grandes impactos con relacin a la seguridad.
Como ejemplo
1
podemos tomar la explosin e incendio de 1974 en Flixborough
(Reino Unido) en la fbrica Nypro, donde murieron 28 trabajadores de la planta debido a la
inadecuada atencin que se dio al impacto de seguridad de un cambio de tubera. Este
accidente cambio la forma de tratar la seguridad por parte de las industrias. La planta de
Nypro produca un producto intermedio para producir Nylon. El proceso consista en una
serie de seis reactores de 20 toneladas de capacidad y conectados parcialmente por un junta
flexible, donde reaccionaba ciclohexano lquido con el aire fresco aportado en cada uno de
los reactores para producir ciclohexanol. Al descubrir una grieta y fuga en uno de los
1
La universidad URV de Taragona dispone de Ctedra Enresa-URV de Seguridad Industrial donde se
describen algunos casos de accidentes catastrficos sucedidos en los ltimos aos.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
232
reactores, se opt por bypasear el reactor con una tubera temporal con el fin de mantener
la produccin y sacar de lnea el reactor para ser reparado.
No se consult a ningn ingeniero especializado en seguridad ni en proceso. El nico
diseo que se realiz sobre el cambio fue un plano dibujado con una tiza en el suelo del
taller. Una vez modificado el proceso se realiz un test de presin neumtico a 127 psig en
lugar de un test hidrulico y a una presin de 156 psig, como marcaba el lmite de la
vlvula de seguridad del proceso, por lo que se violaban los estndares y guas britnicas
del momento. La tubera funcion durante aproximadamente 2 meses hasta que hubo un
ligero incremento de presin (por debajo del punto de disparo de la vlvula de seguridad)
que caus flexin en la tubera de tal forma que fue suficiente para expulsar la tubera y
dejar las dos bridas de 28 pulgadas abiertas, produciendo una nube de gas que explosiono
con el resultado de 28 muertes y 36 heridos de gravedad, destruccin de la planta,
destruccin de edificios en un rea de 600 metros, rotura de cristales en un rea de 12
kilmetros y fuego en la planta durante 10 das que obstaculiz las labores de rescate.
Como principal leccin que podemos tomar es que todas las modificaciones deben
ser diseadas y revisadas por personal cualificado y que hay que seguir procedimientos
estrictos de gestin de cambios
1
para analizar el impacto de los cambios.
OSHA 29 CFR 1910.119 Process Safety Management of Highly Hazardous
Chemicals requiere establecer e implementar procedimientos escritos para gestionar los
cambios en procesos qumicos, en la tecnologa, equipos y procedimientos, y cambios en
las instalaciones que afecten al proceso.
ANSI/ISA 84.00.01 establece que los procedimientos de la gestin de
modificaciones deben estar realizados para poder iniciar, documentar, revisar, implementar
y aprobar los cambios en el sistema instrumentado de seguridad antes de realizar el
cambio.
IEC 61511 Parte 1 Clasula 17 establece los requerimientos para las modificaciones
del sistema instrumentado de seguridad.
En ambas normas y estndares no aplica a los cambios en especie replacement in
kind, es decir, por ejemplo, un instrumento por otro igual (misma tasa y modo de fallos) y
realizando la misma funcin.
7.10.1 Cuando es necesario aplicar la gestin de modificaciones (MOC)
Los procedimientos MOC (Management Of Change) deben ser realizados para
cambios que se realicen en:
El proceso.
Los procedimientos de operacin.
Las regulaciones de seguridad.
Las especificaciones de los requerimientos de seguridad.
El sistema de seguridad.
El software o firmware
1
(embebido, de aplicacin o de utilidades) por un
upgrade del sistema.
1
Tambin conocido como control de cambios
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
233
Para correcciones de fallos sistemticos.
Los procedimientos de pruebas funcionales o mantenimiento, por ejemplo
incorporacin de bypass para la realizacin de las pruebas.
El diseo del sistema como resultado del incremento de la probabilidad de fallo
en demanda del SIS
7.10.2 Requerimientos de los procedimientos MOC
Como se coment el objetivo de gestionar las modificaciones esta en asegurar que
los cambios en cualquier sistema instrumentado de seguridad estn adecuadamente
planificados, revisados y aprobados antes de realizar la modificacin y asegurar que la
integridad de seguridad requerida se mantiene.
Es muy importante, antes de realizar modificaciones, obtener las autorizaciones
adecuadas. Normalmente las autorizaciones vienen dadas por ms de una persona de la
gerencia de cambios y probablemente tambin requerir la autorizacin del departamento
de produccin (operativa). Es operativa quien opera la planta y precisan saber en todo
momento que sucede.
El hecho de mantener al departamento de operativa dentro del grupo de gerencia es
muy importante como podemos ver despus de lo ocurrido en la plataforma petrolfera
Piper Alpha
2
ubicada en el Mar del Norte y propiedad de OPCAL, donde el 6 de julio de
1988 una serie de explosiones destruyeron toda la plataforma con un balance de 167
hombres muertos (59 lograron sobrevivir). Es considerado el mayor desastre de la historia
en la industria de extraccin de petrleo. En resumen, la causa principal del accidente fue
el desconocimiento por parte de operativa del turno entrante de que se haba quitado de
servicio un compresor y se haba tapado con un disco la tubera. Hubo un fallo en un
segundo compresor y operacin realiz una serie de maniobras para llevar el petrleo al
primer compresor sin saber que estaba fuera de servicio. Una serie de fallos y malas
actuaciones llevo al desastre.
Consideraciones a tomar antes de realizar modificaciones en el sistema de seguridad:
Base tcnica de la propuesta de cambio.
El impacto que tendr el cambio sobre la seguridad.
Como afecta y modifica la operacin y procedimientos.
Periodo de tiempo necesario para realizar el cambio.
Que autorizaciones son necesarias para realizar el cambio y obtencin de las
mismas.
1
Un cambio en el firmware constituye una modificacin lo suficientemente significativa para
justificar seguir los procedimientos MOC. Los fabricantes tienen la capacidad de modificar y agregar
funcionalidad a los dispositivos a travs de cambios de software. Normalmente es el fabricante quien
gestiona que los cambios no distorsionan la seguridad requerida.
2
Existen numerosos videos, reportajes y reseas donde se enumeran la serie de eventos que condujo al
desastre. Uno de los documentales ms tcnico y relacionado con el sistemas de seguridad lleva por nombre
Piper Alpha, la espiral hacia el desastre realizado por Coastal Training Technologies Corportaion. Se trata
de un documental bsico para entender la importancia de procedimentar la gestin de cambios.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
234
Espacio de memoria requerido en el controlador lgico, as como el impacto que
tendr en el mismo.
Efecto que tendr el cambio sobre el tiempo de respuesta.
A continuacin es importante realizar una evaluacin del cambio para asegurar que
el requisito de integridad de la seguridad ha sido evaluado y se mantiene y que personal de
las disciplinas afectadas ha sido incluido en el proceso de evaluacin.
Todo el personal afectado por el cambio ha de ser informado y formado antes de
implementar el cambio y ponerlo en lnea.
7.10.3 Documentacin
Las modificaciones que se realizan en un sistema instrumentado de seguridad han de
estar debidamente documentadas y mantenidas para todo el personal que trabaje con el
sistema. La documentacin al menos ha de incluir:
Una descripcin de la modificacin.
Motivo de la modificacin.
Peligros que pueden verse afectados.
Anlisis del impacto de la modificacin en el sistema instrumentado de
seguridad.
Todas las aprobaciones que se han reunido hasta la implementacin del cambio.
Documentacin del diseo (hardware y software).
Aplicacin lgica.
Las pruebas utilizadas para verificar que la modificacin se ha implementado
adecuadamente y que el sistema instrumentado de seguridad trabaja como es
requerido, y los resultados. Similar a un pre-strat acceptance test (PSAT).
Las pruebas utilizadas para verificar que la modificacin no ha tenido impacto en
el resto del sistema instrumentado de seguridad, y los resultados.
Procedimientos de operacin y mantenimiento actualizados.
Documentacin secundaria afectada por el cambio como manuales, planos,
registros de instrumentos, recomendaciones de recambios, etc.
Realizacin de las especificaciones de los requisitos de seguridad del cambio
realizado y sistema que se haya visto afectado.
Por ltimo y muy importante, eliminar toda la documentacin obsoleta. Esta
documentacin solo puede producir errores en trabajos de operacin, mantenimiento,
futuras modificaciones, etc.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and J ustification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
235
7.10.4 Decomisionado
El decomisionado de un sistema instrumentado de seguridad no deja de ser una
modificacin del SIS. Cuando un SIS es desactivado, se requieren los mismos pasos y
procedimientos del MOC, de forma que se asegure que otros sistemas o procesos que
puedan estar relacionados con el sistema a decomisionar no se vean afectados, por lo que
todas las actividades de decomisionado requiere procedimentales como un cambio y ser
dirigido como una actividad de modificacin del sistema instrumentado de seguridad.
Anexos Anexo A: Vista general del Ciclo de Vida
236
8 ANEXOS
8.1 ANEXO A: Vista general del ciclo de vida (IEC 61511)
Vista general del ciclo de vida de seguridad segn norma IEC 61511.
Fase o actividad del Ciclo de
Vida de Seguridad
Objetivos
Requisitos
Clusula de
la norma
IEC 61511
Entradas Salidas
Caja
nmero
Ttulo
1 Anlisis y
evaluacin de
riesgos.
Determinar los peligros
y eventos peligrosos del
proceso y los equipos
asociados, la secuencia
de eventos que llevaron
al evento peligroso, los
riesgos asociados del
proceso al evento
peligrosos, los
requisitos para la
reduccin de los riesgos
y las funciones de
seguridad requeridas
para satisfacer la
necesaria reduccin de
riesgo.
8
del presente
trabajo 7.2
Diseo de proceso,
planos de
distribucin,
objetivos de
seguridad.
Una descripcin de los
peligros, de la funcin de
seguridad requerida y de la
reduccin de los riesgos
asociados.
2 Asignacin de
funciones de
seguridad a las
capas de
proteccin.
Asignacin de las
funciones de seguridad
para las capas de
proteccin y para cada
SIF, con el SIL
asociado.
9
del presente
trabajo 7.3
Una descripcin de
las FIS (SIF)
requeridas y los
requisitos de
integridad de
seguridad asociados.
Descripcin de la asignacin
de los requisitos de seguridad
(ver clusula 9 de norma IEC
61511).
3 Especificacin de
los requisitos de
seguridad del SIS.
Especificar los
requisitos para cada
SIS, en trminos de las
SIF requeridas y su
integridad de seguridad
asociada, a fin de lograr
la seguridad funcional
requerida.
10
del presente
trabajo 7.4
Descripcin de la
asignacin de los
requisitos de
seguridad (ver
clusula 9 de norma
IEC 61511).
requisitos de seguridad de
los SIS;
Requisitos de seguridad del
software.
4 Diseo e ingeniera
del SIS.
Disear el SIS para
satisfacer los requisitos
de las SIF y la
integridad de seguridad.
11 y 12.4
del presente
trabajo 7.5
Requisitos de
seguridad del SIS.
Requisitos de
seguridad de los
programas.
Diseo del SIS de acuerdo con
los requisitos de seguridad
del SIS;
planificacin para pruebas de
integracin del SIS.
5 Instalacin,
comisionado y
validacin del SIS.
Integrar y probar el SIS.
Validar que el SIS
cumple en todo
respecto a los requisitos
de seguridad en
trminos de SIF y de
integridad de seguridad
requerida.
12.3, 14 y
15
del presente
trabajo 7.8
Diseo del SIS;
Plan de pruebas de
integracin del SIS;
Requisitos de
seguridad del SIS;
Plan para la
validacin de la
seguridad del SIS.
Funcionamiento completo
del SIS de acuerdo con los
resultados del diseo de SIS
resultado de las pruebas de
integracin del SIS.
Resultados de las actividades
de instalacin, comisionado
y validacin.
6 Operacin y
mantenimiento del
SIS.
Garantizar que la
seguridad funcional del
SIS se mantiene durante
la operacin y
mantenimiento.
16
del presente
trabajo 7.9
Requisitos del SIS;
Diseo del SIS.
Plan para operacin
y mantenimiento del
SIS.
Resultados de las actividades
de operacin y mantenimiento.
7 Modificacin del
SIS
Hacer correcciones,
mejoras o adaptaciones
al SIS, asegurando que
el SIL objetivo se
alcanza y mantiene.
17
del presente
trabajo 7.10
Requisitos de
seguridad del SIS
revisados.
Resultados de la modificacin
del SIS.
Anexos Anexo A: Vista general del Ciclo de Vida
237
8 Desmantelamiento Garantizar la correcta
revisin, organizacin
del sector a desmantelar
y garantizar que las SIF
que permanecen son
apropiadas.
18
del presente
trabajo
7.10.4
Requisitos de
seguridad e
informacin del
proceso de como
qued (as built).
SIF puesta fuera de servicio.
9 Verificacin del
SIS
Probar y evaluar los
resultados de una fase
dada para garantizar la
exactitud y consistencia
con respecto a los
productos y normas
establecidas, como
entrada a esa fase.
7 y 12.7
del presente
trabajo 6.2
Plan para la
verificacin del SIS
para cada fase.
Resultados de la verificacin
del SIS para cada fase.
10 Evaluacin de la
Seguridad
funcional del SIS.
Investigar y llegar a una
decisin sobre la
seguridad funcional
alcanzada por el SIS.
5
del presente
trabajo 6.1
Planificacin para la
evaluacin de la
seguridad funcional
del SIS.
Requisitos de
seguridad del SIS.
Resultados de la evaluacin de
la seguridad funcional del SIS.
Anexos Anexo B: Ejemplo HAZOP Sistema Antorcha
238
8.2 ANEXO B: Ejemplo HAZOP Sistema Antorcha.
Descripcin:
El sistema de antorcha cumple las siguientes funciones:
Eliminacin segura de gases y lquidos procedentes del sistema de descarga,
descarga manual o descarga por presin excesiva en diferentes sistemas (columna
depropanizadora, columna deetanizadora, PP-Splitter, activacin EBDD
1
, etc.).
Despresurizacin y vaciado de las instalaciones de proceso en caso de incidentes o
para fines de mantenimiento.
Evaporacin de los lquidos despus de (y durante) el vaciado del sistema.
Pgina intencionadamente en blanco:
Tratamiento confidencial
1
EBDD: sitema de Emergencia, Bloqueo, Drenaje y Despresurizacin que se activa de forma manual
para reducir riesgos en diferentes unidades de fraccionamiento de la planta.
Pgina intencionadamente en blanco: Tratamiento confidencial
Anexos Anexo C: Respuestas a las Recomendaciones
240
8.3 ANEXO C: Respuestas a las Recomendaciones
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo D: Asignacin SIL: Matriz de Riesgo
241
8.4 ANEXO D: Asignacin SIL a una SIF: Matriz de Riesgo
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo E: P&ID
242
8.5 ANEXO E: P&ID
Pgina intencionadamente en blanco: Tratamiento confidencial
Anexos Anexo F: CEM; Matriz Causa Efecto
243
8.6 ANEXO F: CEM, Matriz Causa Efecto
Pgina intencionadamente en blanco: Tratamiento confidencial
Anexos Anexo G: SRS: Especificaciones para las SIF
244
8.7 ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de
Seguridad (SIF)
8.7.1 SRS: SIF N 1:
8.7.2 SRS: SIF N 2:
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo H:Clculo SIL; Verificacin
245
8.8 ANEXO H: Clculo SIL; Verificacin
8.8.1 SIF N 1:
Parte intencionadamente en blanco:
Tratamiento confidencial
SIL requerido: SIL3
Parte Sensor:
3 interruptores de nivel con votacin 2oo3 por nivel alto (80%). Mobrey horizontal
switches.
Del manual de seguridad funcional del equipo (M310/FSM, enero 2012) y del anlisis
FMEDA realizado por EXIDA obtenemos los siguientes resultados:
Clasificacin del interruptor de nivel: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 0 y 60%) el elemento alcanza SIL 1 con HFT=0
(1oo1) y SIL 2 con HFT=1.
Si se justifica que en la seleccin del equipo se ha usado el criterio de uso previo el
valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver captulo 7.5.8.1 HFT segn
norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 3 con HFT =1.
Votacin: 2oo3
HFT: 1
MTTR 8 horas
Intervalo de test 12 meses
-
Cobertura de test 100%
Anexos Anexo H:Clculo SIL; Verificacin
246
Utilizando el mtodo de las ecuaciones simplificadas votacin 2oo3:
( ) [ ] [ ]
+ + =
2 2
3
2
2 TI TI
TI MTTR TI PFD
D
F
DU DD DU DU
avg
( ) [ ] ( ) [ ]
S
F
DD S DD S S
MTTR STR + + + + = 6
PFDavg,s =2.918E-06 SIL 3
HFT=1
MTTF
S,S
=34274 aos
Parte PLC de seguridad
El comportamiento de la seguridad funcional y los disparos en falso del PLC de
seguridad se puede cuantificar de la forma siguiente:
PFDavg,
LS
=1E-05 SIL 3
HFT =1
MTTF
S,LS
=600 aos
El PLC de seguridad est certificado por TV para aplicaciones hasta SIL 3.
Equipo: NN
MTTR: 8 horas
Intervalo de test: 12 meses
Parte Elemento final
Vlvulas ON/OFF: XOMOX tipo
.
La vlvula por su condicin fail safe retorna a su posicin de seguridad a falta de
energa por lo que el anlisis se centrar en la disponibilidad y fiabilidad de la electrovlvula.
La electrovlvula ASCO tipo 551 est certificada por EXIDA para aplicaciones hasta
SIL 3.
Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves
used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los
siguientes resultados:
Clasificacin del equipo solenoide: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 60 y 90%) el elemento alcanza SIL 3 con HFT=1
y SIL 2 con HFT=0.
Anexos Anexo H:Clculo SIL; Verificacin
247
Si se justifica que en la seleccin del equipo se ha usado el criterio de uso previo el
valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver captulo 7.5.8.1 HFT segn
norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 3 con HFT =0.
Votacin: 1oo1
HFT: 0
MTTR 8 horas
Intervalo de test 6 meses
-
Cobertura de test 100%
Utilizando el mtodo de las ecuaciones simplificadas:
=
2 2
TI TI
PFD
D
F
DU
avg
S
F
DD S
STR + + =
PFDavg,
FE
=7,55E-04 SIL 3
HFT=0
MTTF
S,FE
=90 aos
Anexos Anexo H:Clculo SIL; Verificacin
248
8.8.2 SIF N 2:
Parte intencionadamente en blanco:
Tratamiento confidencial
SIL requerido: SIL2
Parte Sensor:
1 transmisor de presin con votacin 1oo1 por baja presin (1.2 barg). Transmisor de
presin Fisher Rosemount (EMERSON) tipo 2088G.
Del anlisis FMEDA realizado por EXIDA (Project: 2088 pressure transmitter)
obtenemos los siguientes resultados:
Clasificacin del transmisor de presin: TIPO B (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 60 y 90%) el elemento alcanza SIL 1 con HFT=0
(1oo1).
FIT is the abbreviation for Failure In Time. One FIT is 1E-09 failure per hour
Si se justifica que en la seleccin del equipo se ha usado el criterio de uso previo el
valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver captulo 7.5.8.1 HFT segn
norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 2 con HFT =0.
Votacin: 1oo1
HFT: 0
MTTR 8 horas
Intervalo de test 12 meses
-
Cobertura de test 100%
Anexos Anexo H:Clculo SIL; Verificacin
249
Utilizando el mtodo de las ecuaciones simplificadas votacin 1oo1:
=
2 2
TI TI
PFD
D
F
DU
avg
S
F
DD S
STR + + =
PFDavg,s =5.52E-04 SIL 3
HFT=0
MTTF
S,S
=313 aos
Parte PLC de seguridad
El comportamiento de la seguridad funcional y los disparos en falso del PLC de
seguridad se puede cuantificar de la forma siguiente:
PFDavg,
LS
=1E-05 SIL 3
HFT =1
MTTF
S,LS
=600 aos
El PLC de seguridad est certificado por TV para aplicaciones hasta SIL 3.
Equipo: NN
MTTR: 8 horas
Intervalo de test: 12 meses
Parte Elemento final PV64012
Vlvula de globo ON/OFF MASONEILAN serie 21000
La vlvula por su condicin fail safe retorna a su posicin de seguridad a falta de
energa por lo que el anlisis se centrar en la disponibilidad y fiabilidad de la electrovlvula.
La electrovlvula ASCO tipo 553 est certificada por EXIDA para aplicaciones hasta
SIL3.
Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves
used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los
siguientes resultados:
Clasificacin del equipo solenoide: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 60 y 90%) el elemento alcanza SIL 2 con HFT=0.
Anexos Anexo H:Clculo SIL; Verificacin
250
Si se justifica que en la seleccin del equipo se ha usado el criterio de uso previo el
valor HFT puede ser reducido en 1 (SIL aumenta en 1) (Ver captulo 7.5.8.1 HFT segn
norma IEC61511 y IEC61508). Por lo que podemos asumir un SIL 3 con HFT =0.
Votacin: 1oo1
HFT: 0
MTTR 8 horas
Intervalo de test 6 meses
-
Cobertura de test 100%
Utilizando el mtodo de las ecuaciones simplificadas votacin 1oo1:
=
2 2
TI TI
PFD
D
F
DU
avg
S
F
DD S
STR + + =
PFDavg,
FE
=7.6E-04 SIL 3
HFT=0
MTTF
S,FE
=90 aos
Resultado para la funcin de seguridad SIF N2 con arquitectura 1oo1 en parte sensor y
1oo1 en parte elemento final:
+ + =
i FE LS i S SIF
PFD PFD PFD PFD
, ,
+ + =
i FE LS i S SIF
STR STR STR STR
, ,
SIF
spurious
STR
MTTF
1
=
PFDavg =1.32E-03 RRF =756 SIL 2
MTTF
S,SIF
=62.5 aos
PFDavg RRF SIL
(PFDavg)
SIL
(Restricciones HFT
IEC61508)
1.32E-03 756 SIL 2 SIL 2
Anexos Anexo H:Clculo SIL; Verificacin
251
Anexos Anexo I:Hojas Tcnicas
252
8.9 ANEXO I: Hojas Tcnicas
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo J:Lazos de Control
253
8.10 ANEXO J: Lazos de Control
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo K: Diagramas Lgicos
254
8.11 ANEXO K: Diagramas Lgicos
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo M: Sinpticos BPCS
255
8.12 ANEXO M: Sinpticos BPCS
EL sistema bsico de control del proceso est basado en un sistema DeltaV de
EMERSON versin 10.3.
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo N: Pruebas de Lazo de Seguridad
256
8.13 ANEXO N: Pruebas de Lazo de Seguridad
Las pruebas del correcto funcionamiento de los lazos de seguridad y por tanto de todos
sus componentes, elemento de medicin (sensor), PLC de seguridad, elemento final de
control (actuador) as como el correcto funcionamiento de la lgica es un requisito de
seguridad de obligado cumplimiento.
El intervalo de test vendr dado por las especificaciones de los requisitos de seguridad y
es un punto clave a la hora de calcular el SIL alcanzado por cada uno de las funciones de
seguridad. Como norma general las pruebas son de carcter anual, aunque en aquellos
elementos finales de control que normalmente estn en una posicin fija se recomienda y es
una buena prctica realiza la prueba de funcionamiento en intervalos de 6 meses.
(Ver captulo 7.9.3 Pruebas funcionales del SIS)
A continuacin se mostrar algn ejemplo de procedimientos de diferentes pruebas de
lazo del sistema de antorcha
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo O: PSSR Pre-Start Safety Review
257
8.14 ANEXO O: Hojas PSSR; (Pre Start Safety Review)
Pgina intencionadamente en blanco:
Tratamiento confidencial
Anexos Anexo P: Proteccin de la informacin SIS
258
8.15 ANEXO P: Proteccin de la informacin: Sistema Instrumentado de
Seguridad
El Anexo P consta de 2 documentos:
Clasificacin Sistemas de Automatizacin.
Instrucciones de trabajo Back Up
El primero (Clasificacin Sistemas de Automatizacin.XXXXXXXX) analiza los
diferentes sistemas de automatizacin que contienen informacin de configuracin o
proceso susceptible de daarse y que requiere un procedimiento para asegurar esa
informacin. Definiendo para cada sistema:
Responsabilidades.
Enumeracin de los sistemas instalados y susceptibles para mantener la
informacin.
Criticidad para el negocio: impacto que tiene para el negocio la prdida de
informacin.
Confidencialidad del sistema.
Poltica de copia de seguridad, dependiendo de la criticidad y confidencialidad del
sistema.
Poltica de accesibilidad a los sistemas.
A partir de este documento se elabora el segundo documento (Instrucciones de
trabajo Back up) donde se definen las instrucciones bsicas para la realizacin y custodia
de las copias de seguridad del Sistema Instrumentado de Seguridad .
Asimismo se anexa la poltica de acceso al Sistema Instrumentado de Seguridad al
que se hace referencia en los documentos arriba mencionados
.
Anexos Anexo P: Proteccin de la informacin SIS
259
Pgina intencionadamente en blanco:
Tratamiento confidencial