02-07-2011

Sistemas Instrumentados de Seguridad

Fuente principal:
Curso Seguridad Funcional, Anlisis de Riesgos y SIS, Juan Caldern (CFSE)
MGM - Pars y lvarez, Mayo de 2011

Contenido
Introduccin

Peligro y Riesgo
Seguridad Funcional
Normas Aplicables

Conceptos Bsicos

Funcin Instrumentada de Seguridad (SIF)

Sistema de Seguridad Instrumentado (SIS)
Capas de Proteccin Independientes (IPL)
Probabilidad de Falla en Demanda (PFD)
Nivel Integral de Seguridad (SIL)
Especificacin
E
ifi
i d
de R
Requerimientos
i i t d
de S
Seguridad
id d (SRS)
Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas)
Arquitecturas de SIS (MooN)

Ciclo de Vida de una SIF

Sistemas Instrumentados de Seguridad / Contenido

02-07-2011

Introduccin
Los Sistemas de Seguridad nacen de la necesidad de tener
procesos ms seguros, donde el riesgo alcance un nivel tolerable.
Riesgo y Peligro:

Riesgo: Combinacin entre probabilidad de ocurrencia de un dao

(frecuencia) y su severidad (consecuencia).
Peligro: Fuente potencial de dao a las personas, ambiente, o
propiedad.
El riesgo cero no existe
existe.. Se puede disminuir minimizando la frecuencia
del evento que genera el dao, su severidad o ambas.
La Frecuencia
Frecuencia:: Prevencin, el evento no ha ocurrido. Ej.: Un control de nivel que
disminuye la probabilidad de derrame
derrame.
La Severidad
Severidad:: Mitigacin, el evento ya ocurri. Ej.: Un sistema de deteccin de
incendio. La fuga de gas o generacin de llama ya ocurri.

El objetivo es alcanzar un riesgo tolerable, aceptable o meta.

El Riesgo Tolerable se mide en trminos de fatalidades o eventos que

pueden causar dao por ao. Es definido por cada empresa.

Sistemas Instrumentados de Seguridad / Introduccin

Introduccin
Seguridad Funcional: Parte de la seguridad que depende del
funcionamiento correcto de equipos en respuesta a sus entradas.
Se basa en funciones de seguridad.
Funcin de seguridad: Cualquier funcin que permita reducir el
riesgo asociado a una situacin peligrosa.

La definicin de lo que har proviene de un anlisis de peligros. Qu tan buena

ser proviene de un anlisis y evaluacin del riesgo. Ej.: control orientado a
prevenir el derrame de un estanque, uso de casco, carcasa de un motor.
Cuando se utilizan instrumentos se habla de una Funcin Instrumentada de
Seguridad (SIF).
(SIF).

Si los instrumentos son de naturaleza elctrica, electrnica o

electrnica programable (E/E/
(E/E/PE)
PE) quedan sujetos a lo especificado
en las normas: IEC 61508 e IEC 61511.

Sistemas Instrumentados de Seguridad / Introduccin

02-07-2011

Introduccin
IEC 61508: Functional Safety of Electrical/Electronic/Programmable
Electronic SafetySafety-Related Systems

Aplica a fabricantes y proveedores de dispositivos.

E
ifi cmo

tifi
di i t los
l productos
d t y detalla
d t ll llos
Especifica
certificar
en rendimiento
requerimientos necesarios para alcanzar cada SIL.

IEC 61511: Safety Instrumented Systems for the Process Industry

Sector

Aplica a diseadores, integradores y usuarios finales de SIS.

Especifica cmo se aplican los conceptos de la IECIEC-61508 a la industria del
proceso.
proceso
Define el Ciclo de Vida de Seguridad Funcional.
Existe la ANSI/ISA 84.00.01 que es una copia de la IEC 61511.

Sistemas Instrumentados de Seguridad / Introduccin

Conceptos Bsicos
Sistema de Seguridad Instrumentado (SIS)
Funcin Instrumentada de Seguridad (SIF)
Capas de Proteccin Independientes (IPL)
Probabilidad de Falla en Demanda (PFD)
Nivel Integral de Seguridad (SIL)
Especificacin de Requerimientos de Seguridad (SRS)
Tipos de Fallas (seguras, peligrosas, detectadas, no
detectadas)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

02-07-2011

Sistema Instrumentado de Seguridad (SIS)

Es un conjunto de una o ms funciones instrumentadas de
seguridad (SIF), cuyo objetivo es llevar el proceso a un estado
seguro cuando se presentan ciertas condiciones de riesgo.
Es un sistema independiente del sistema de control (BPCS) y por
definicin es automtico.
Logic
Solver

BPCS

Actuador

Actuador

Sensor

Sensor

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

Funcin Instrumentada de Seguridad (SIF)

Funcin de seguridad con cierto SIL implantada en un SIS con el
objeto de lograr un nivel de seguridad funcional requerido.
Est compuesto
por cualquier
combinacin de sensores,, Logic
p
p
q
g
Solver y elementos de accin final. Cualquiera de ellos que falle
falla la SIF.
Una SIF requiere un factor de reduccin de riesgo mnimo de 10
para considerarlo con categora SIL.
En un SIS puede coexistir ms de una SIF con SIL diferentes.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

02-07-2011

Funcin Instrumentada de Seguridad (SIF)

Cmo identificar una SIF

Experiencia previa en procesos similares y normativas de la empresa.

Algunas SIF ya estn definidas en algunas normas.

Anlisis de peligros:

Listas de verificacin (check list): aplicaciones simples (Ej.: bombas)

Anlisis what if: qu pasa si (similar al anterior)
Anlisis de peligros y operatividad (HAZOP): mtodo formal para nuevos procesos,
orientado a la industria de procesos
Anlisis de modos de fallas y efectos (FMEA): para procesos de ndole mecnica (Ej.:
tornos, prensas, gras, etc.)
rboles de falla (Fault Tree): mtodo deductivo que parte de un evento peligroso y se
d
desarrolla
ll h
hacia
i abajo
b j b
buscando
d causas. P
Permite
it anlisis
li i cualitativo
lit ti y cuantitativo.
tit ti

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

Capas de Proteccin Independientes (IPL)

Grupo de equipos y/o controles administrativos que funcionan en
concierto con otras capas de proteccin, para prevenir o mitigar un
riesgo en el proceso.

Una SIF es una Capa de Proteccin.

Para ser considerado IPL debe rreducir

educir el riesgo 10 veces como mnimo.
mnimo.

Debe tener un grado de disponibilidad de al menos 90%.

90%.

Debe prevenir o mitigar las consecuencias de un evento peligroso especfico

(especificidad). Ej.: vlvula de alivio.
alivio.
Debe ser independiente de otras IPL e independientes del origen del problema,
es decir, el efecto de un evento en una capa no impacta otras capas. Ej.: la falla
de la vlvula de alivio no implica que fallar el switch de presin
presin..
Debe ser diseada para manejar tanto fallas sistemticas como aleatorias
aleatorias..
Debe facilitar una validacin regular de la funcin, es decir, permitir probar que la
funcin es efectiva. Ej.: si la vlvula de alivio no puede probarse no puede
considerarse capa de proteccin.
proteccin.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

10

02-07-2011

Probabilidad de Falla en Demanda (PFD)

Probabilidad promedio que tiene una SIF para fallar ante una
demanda de su funcionalidad (modo demanda). Determina el grado
de integridad que debe tener cada SIF.
Una SIF puede ser ejecutada en modo de baja o alta demanda
(continuo). En el segundo caso la PFD es 4 rdenes
rdenes de magnitud
ms exigente.

Modo Baja Demanda: El peligro se manifestar (consecuencia) cuando se d el

evento iniciador y falle la SIF. Se considera baja demanda cuando la SIF es
demandada menos de 1 vez al ao.
Modo Alta Demanda: El peligro est permanentemente presente
presente, por lo tanto
se manifestar (consecuencia) cuando falle la SIF. Se considera alta demanda
cuando la SIF es demandada ms de 1 vez al ao. Se disea en funcin de la
probabilidad de falla por hora.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

11

Nivel de Integridad de Seguridad (SIL)

Es un valor discreto que indica el factor de disminucin de riesgo
(RRF) que es capaz de brindar la SIF dentro de un SIS. No es una
propiedad del SIS, es una propiedad de la SIF.
SIF.
SIL

PFD
(baja demanda)

PFD
(alta demanda)

RRF

Disponibilidad

10-5 a <10-4

10-9 a <10-8

>10.000 a 100.000

>99,99%

10-4 a <10-3

10-8 a <10-7

>1.000 a 10.000

99,90 a 99,99%

10-3 a <10-2

10-7 a <10-6

>100 a 1.000

99,00 a 99,90%

10-2 a <10-1

10-6 a <10-5

>10 a 100

99,00 a 99,00%

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

12

02-07-2011

Nivel de Integridad de Seguridad (SIL)

Concepto de SIL y Riesgo

Rnp
p

Regin
No Aceptable
p

Fnp
Riesgo Intermedio
(sin SIS)

Reduccin de C

SIL 1

SIL 2

SIL 3
Riesgo Final

Regin
Aceptable

Regin
Tolerable
Cnp

Consecuencia (C)
Sistemas Instrumentados de Seguridad / Conceptos Bsicos

13

Nivel de Integridad de Seguridad (SIL)

Concepto de SIL y Riesgo

Ejemplo: estanque con riesgo de derrame

Se tiene un Riesgo
(Rnp)
g Inherente (Rnp
p), es decir,, sin capas
p de proteccin.
p
Se puede disminuir la frecuencia (F) agregando una Capa de Proteccin.
Proteccin. Ej.: una alarma y accin
del operador. Pero la consecuencia no ha cambiado.
Para disminuir la consecuencia (C) se puede instalar un pretil de contencin. Disminuye el riesgo a un
valor de Riesgo Intermedio,
Intermedio, pero an se est en la Regin No Aceptable Incorporar una Capa
de Proteccin Instrumentada (SIS).
(SIS).
Una primera capa puede reducir el riesgo en una orden de magnitud (10 veces, es decir, SIL 1), con
lo cual llegamos a la Regin Tolerable.
Tolerable.
Una segunda Capa de Proteccin puede reducir el riesgo en dos rdenes de magnitud (100 veces, es
d i SIL 2)
decir,
2), con llo cuall se llllega a lla Regin
R i Aceptable.
Aceptable
A
t bl .
Si se desea puede reducirse an ms el riesgo agregando ms capas de proteccin, pudiendo llegar
a SIL 3.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

14

02-07-2011

Nivel de Integridad de Seguridad (SIL)

Mtodos para determinar el SIL

Existen diversos mtodos. Depender de la complejidad del caso, experiencia

en procesos similares y severidad de las consecuencias.
Normalmente las empresas
tienen definido el mtodo a utilizar.
p
Es recomendable hacer siempre una anlisis cualitativo, y para los que den
SIL>1, utilizar un mtodo cuantitativo.

Tcnica

Anlisis
cualitativo
(100% casos)

Aplicacin

Matriz de capas
de seguridad

Grfico de
riesgo

LOPA

rbol de
eventos

rbol de fallas,
modelos de Markov

p
Simple

Bueno

Bueno

Bueno

Excesivo

Excesivo

Compleja

Pobre

Pobre

Justo

Justo

Bueno

Semi-cuantitativo
(10 a 20% casos)

Cuantitativo
(10% casos)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

15

Nivel de Integridad de Seguridad (SIL)

Ejemplo clculo cuantitativo del SIL

Peligro (evento): explosin por prdida de llama en una caldera

Frecuencia prdida de llama: 2/ao (determinado de un rbol de fallas)

Probabilidad de explosin: 1/4 (dato histrico)

Frecuencia de explosin sin capas de proteccin: Fnp = 2x1/4 = 0.5/ao

Consecuencia: una fatalidad (consecuencia crtica)

Frecuencia tolerable: Ft = 1/5000 ao = 2.0x10-4 (dato de matriz de riesgos

definida por la empresa)
Reduccin de riesgo requerida: RRF = Fnp
Fnp/Ft
/Ft = 0.5/2.0x10
0.5/2.0x10-4 = 2500 veces
Probabilidad de falla en demanda: PFDavg
g = 1/RRF = 4.0x10
4.0x10-4 ((esta es la
mxima probabilidad de falla que puede tener la SIF) SIL 3 (de tabla SIL)
Cuntas y qu capas de proteccin pueden permitir alcanzar este SIL?
Diseo

El diseo se inicia con la definicin de la SIF: ante prdida de llama cerrar vlvula de
corte de gas piloto a quemador

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

16

02-07-2011

Especificacin de Requerimientos de Seguridad (SRS)

Especifica los requerimientos de seguridad del SIS.
Requerimientos Funcionales (especialistas de procesos y control)

Definicin del estado seguro,

g
rango
g operacin normal de variables de proceso

Salidas SIF y sus acciones, relacin entre entradas y salidas (causa/efecto)

Seleccin de energizar o desenergizar para disparar

Definir tiempo de respuesta de la SIF (tiempo entre que ocurre una demanda de
disparo hasta que el evento peligroso se lleva a cabo)
Definir si se necesita parada manual, acciones ante prdida de energa,
respuestas ante fallas, etc.

Requerimientos de Integridad (especialista de control)

Definicin del SIL requerido para cada SIF

Requerimientos de diagnstico (detectar fallas con pruebas manuales) y de
mantenimiento para lograr el SIL requerido
Requerimientos de tasa de fallas seguras (evitar falsas paradas)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

17

Especificacin de Requerimientos de Seguridad (SRS)

Documentos de entrada a SRS

PFD, P&ID

Balances de masa y calor

Descripcin del proceso

Reportes de anlisis de peligros

Listado de SIF

Reporte de seleccin de SIF

Documentos de salida de SRS

Requerimientos funcionales y de integridad

g
Descripcin de lgicas (narrativas, diagramas causa/efecto, diagramas de lgica
binaria, etc.)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

18

02-07-2011

Tipos de Fallas
Falla Segura (
(S)

Falla que no pone en peligro el proceso que se est protegiendo, pero s lleva a
prdidas de produccin.
Se presenta cuando no existe el evento iniciador y se ejecuta la SIF por una
falla, producindose una parada falsa.

Falla Insegura o Peligrosa (

(D)

Falla que pone en peligro el proceso que se est protegiendo ante una
demanda.
Se presenta cuando existe el evento iniciador y no se ejecuta la SIF por una
falla, producindose la consecuencia.

Tasa de fallas de un sistema por unidad de tiempo: = S + D

Una Falla Segura o Peligrosa puede ser Detectada o No Detectada

S = SD + SU
D = DD + DU

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

19

Tipos de Fallas
Falla Detectada

Al ocurrir revelan su presencia o pueden ser detectadas mediante diagnstico.

Cuando se detecta, el proceso se lleva a una condicin segura, de modo que la
falla no genere una situacin de peligro
peligro.

Falla No Detectada

No revelan su presencia o permanecen en estado latente.

Las Fallas Peligrosas No Detectadas (
(DU) son las que comprometen la
seguridad del proceso, pues se manifiestan slo ante una demanda de la SIF.
Se busca disminuirlas aumentando la capacidad de diagnstico, el cual puede
ser automtico o manual.
Al detectar una falla en un elemento
elemento, despus de repararlo la probabilidad de
falla se reinicia, siempre que no haya pasado su vida til.

Se define la Cobertura del Diagnstico (C)

Porcentaje de fallas que el sistema de diagnstico es capaz de detectar.

DD = D C

DU = D (1 C)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

20

10

02-07-2011

Tipos de Fallas
Falla en Modo Comn

Evento que ocasiona una falla simultnea en dos o ms elementos de un

sistema.
Es aplicable slo a sistemas redundantes
redundantes, lo que implica que la redundancia no
necesariamente mejorar el desempeo.

Puede ser atribuible al componente mismo o a las condiciones de operacin.

Se reduce usando separacin fsica, diversidad de tecnologas, etc.

Ej.: sensores mal calibrados, obstruccin en toma de proceso cuando dos

instrumentos usan la misma toma, error en los materiales, errores de software
en CPUs, etc.

Se define la fraccin de la Tasa de Fallas (

() a la cual dos
componentes fallan por la misma causa:

N = (1 )

N: tasa fallas normal de cada componente individual

C =

C: tasa fallas comn sobre dos componentes al mismo tiempo

normalmente est entre 2 y 10%.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

21

Arquitecturas de SIS (MooN

(MooN))
Lgica de votacin MooN (M out of N)

M: indica cuntos componentes operan adecuadamente

N: indica con qu frecuencia se desarrolla la SIF (redundancia)
Simbologa

MooN
1oo1

Caractersticas
Seguro: cuando se abre se ejecuta la SIF.
No tolerante: a fallas seguras ni peligrosas.

1oo2

Seguro: cuando se abre cualquiera de ellos se ejecuta la SIF, an

si uno se queda pegado (tolera una falla peligrosa). Queda 1oo1.
No tolerante a fallas seguras: si uno se abre por error se produce
una parada falsa de la planta.

2oo2

No seguro: si uno se queda pegado la SIF no se ejecutar (no

tolera fallas peligrosas)
peligrosas).
Tolerante a fallas seguras: si uno se abre por error la SIF no se
ejecutar, pues deben abrirse ambos.

2oo3

Seguro: cuando se abre un par (uno de cada rama) se ejecuta la SIF.

Tolerante a una falla peligrosa: si uno falla an puede ejecutarse la
SIF (pues se necesitan 2). Queda 2oo2.
Tolerante a fallas seguras: si uno se abre por error la SIF no se
ejecutar, pues deben abrirse dos.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

22

11

02-07-2011

Arquitecturas de SIS (MooN

(MooN))
Diagnstico (D)

Detectar fallas que puedan afectar a la funcin antes que sta sea demandada
por un evento iniciador. Slo reduce la tasa de fallas peligrosas no detectadas.
Simbologa
D

MooN

Caractersticas

1oo1D

Seguro: se detecta si queda pegado. Si se queda pegado y el

diagnstico no lo detecta se producir una falla peligrosa.
No tolerante a fallas seguras.

1oo2D

Seguro: igual que 1oo2, pero adems se detecta si queda pegado.

Tolerante a una falla segura: si uno se abre por error se detecta y
se inhibe (queda 1oo1D). No se produce la falsa parada.
Tolerante a una falla peligrosa: puede ejecutarse la SIF (pues se
necesita 1).

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

23

Ciclo de Vida de Seguridad

Permite desarrollar un marco conceptual para cada etapa del SIS,
desde la concepcin hasta su desmantelamiento.
desmantelamiento.
Dependiendo de la etapa pueden participar especialistas de
distintas disciplinas.
Integra y aplica todos los conceptos descritos.

Sistemas Instrumentados de Seguridad / Ciclo de Vida de Seguridad

24

12

02-07-2011

Ciclo de Vida de Seguridad

Diseo conceptual del proceso

Anlisis de riesgos y diseo ISL

Asignacin de SIF para ISL

- Con la seguridad en mente.

- Especialistas: Procesos

- Identificacin del peligro (HAZOP)

- Estimacin del riesgo
- Establecimiento de Riesgo Tolerable
- Especialistas: Procesos, Instrumentacin,
Electricidad, Seguridad, Operaciones

- Cunto se va a reducir el riesgo

- Responsabilidades a las ISL
- Determinacin de SIL para cada SIF
- Especialistas: Procesos, Instrumentacin,
Electricidad, Seguridad, Operaciones

Definicin de SRS

Diseo e ingeniera de los SIS

Validacin

- Requisitos funcionales e integridad

- Especialistas: Procesos, Control

- Especificacin equipos, instrumentos,

cantidad, tecnologa, arquitectura
- Deben cumplir las SRS y SIL definidos
- Especialistas: Control

- Antes de la partida
- Revisin de cumplimiento de las SRS
- FAT, SAT
- Especialistas: Control

Proc. Operacin/Mantenimiento

Modificaciones

Desmantelamiento

- Procedimientos operativos deben

documentar respuestas a desviaciones
del proceso, alarmas y paradas, con sus
riesgos y consecuencias
- Procedimientos de mantenimiento
detallados para retornar a servicio
- Especialistas: Mantenimiento

- Cambios a SIS deben hacerse bajo

los mismos pasos que la implementacin
- Toda modificacin debe documentarse
- Especialistas: Procesos, Instrumentacin,
Electricidad, Seguridad, Operaciones

- El desmantelamiento de un SIS no
debe tener impacto en el proceso
- Especialistas: Procesos, Instrumentacin,
Electricidad, Seguridad, Operaciones

Verificacin
- Los pasos se cumplen en forma adecuada y se generan los documentos de entrada y salida requeridos

Sistemas Instrumentados de Seguridad / Ciclo de Vida de Seguridad

25

Sistemas Instrumentados de Seguridad

Muchas Gracias
Consultas, comentarios

Fuente principal:
Curso Seguridad Funcional, Anlisis de Riesgos y SIS, Juan Caldern (CFSE)
Pars y lvarez, Mayo de 2011

13