LA REVISTA DE SEGURIDAD Y CONTROL DE SIMPSA

Sistemas Crticos Sistemas de Paro de Emergencia Sistemas de Gas y Fuego Sistemas de Control de Procesos IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

Artculos Informacin Referencias Tecnologas 1

30 Julio 1998

En los ltimos aos la seguridad en los procesos industriales se ha incrementado de una manera sustancial, las normas internacionales y los requerimientos gubernamentales para el aumento de la proteccin de Instalaciones, Humanos y Medio Ambiente, han generado una inquietud en las compaas dedicadas al control de procesos y a la instrumentacin. Las tecnologas orientadas a sistemas de Paro de Emergencia (ESD) y Gas y Fuego (F&G) varan en su arquitectura, diseo, implementacin, las mas acreditadas con certificacin TUV. TUV

Como disear Sistemas de Seguridad

Muchos son las normas, especificaciones, artculos y documentos que se han escrito en los ltimos aos en torno a los sistemas de proteccin, en particular a los llamados Sistemas de Paro de Emergencia (ESD por sus siglas en Ingles) Sistemas de Gas y Fuego (F&G), la mayora de estos estn orientados a las normas que deben de cumplir los sistemas bien al tipo de arquitectura y tecnologa utilizada, muy pocos nos brindan la informacin necesaria para evaluar los diferentes sistemas desde el diseo bsico hasta la implementacin.

B A C

El objetivo de esta edicin es el plantear los puntos mas relevantes al disear, especificar y evaluar de seguridad, de El enfoque en un sistema el sistema cumplatal forma que con la evaluacin las normas internacionales, tenga en nuestra primera edicin la publicacin iny seguridad de- safe esta orientada a la descripcin y definicin de trminos y tecnologas de seguridad. de diferentes la disponibilidadaplicacin , en seada para cada sistemas desde muchos casos se ha detectado que los puntos mas prcticos y sencillos desde el punto de vista tecnolgico no son el punto de considerados, como son el tipo de terminales de conexin a utilizarse, el como se debern de alambrar las entradas y salidas, la utilizacin de fusibles, etc.. en vista del diesta edicin tambin se consideraran estos puntos.

seo.

La mayora de la informacin que aqu se expone esta basada en normas como la ISA SP84, IEC 61508, DIN 0801 as como en artculos y documentacin tcnica generada por los fabricantes de sistemas de seguridad y consultores, es importante llamar la atencin que el fin mas importante de esta edicin es el enfocarnos en la evaluacin de diferentes sistemas desde el punto de vista del diseo, ya que se cuenta con poca informacin de los procedimientos para detectar cual es el mejor sistema para una determinada aplicacin y que tipo de arquitectura es la mas adecuada para los requerimientos de seguridad y disponibilidad de cada usuario. Tambin nos concentraremos en las normas y estndares para la evaluacin de riesgos de procesos como son la OSHA, EPA, DIN 19250 as como de una tcnica que agrupa a estas normas y que proporciona mayor informacin llamada Integrated Risk Assessment

Alcance Anlisis de Riesgos Clculos de Disponibilidad y Nivel de Integridad SIL Diferentes Tecnologas de Seguridad Consideraciones Importantes en Sistemas de Seguridad

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

Sistemas de Seguridad

1.-Anlisis de Riesgos
Introduccin En la ultima dcada se han realizado grandes esfuerzos por establecer practicas y desarrollar estndares, entorno a los sistemas de seguridad, con el objetivo de poder cuantificar los riesgos en los procesos y sistemas. El objetivo de estos esfuerzos es el de establecer una metodologa consistente y aceptada para le evaluacin de riesgos y el proponer soluciones para reducir el nivel de riesgo a niveles aceptables, estos han culminado en diferentes estndares como sin OSHA 29 CR parte 1910, EPA 40 CFR parte 68, ISA S84.01 y ltimamente el borrador IEC 1508. Aqu discutiremos la utilizacin de los estndares basandonos en el modelo de ciclo de vida y nos enfocaremos en la evaluacin de riesgos de proceso utilizando mtodos cuantitativos. Tambin revisaremos las metodologa DIN 19250 y CCPS, y compararemos las tcnicas considerando ventajas y desventajas. As tambin se revisara la certificacin de sistemas de seguridad basada en los estndares IEC 1508, ISA S84.01, OSHA 29 CFR parte 1910 y EPA 40 parte 68. Los estndares IEC 1508, 1511 e ISA S84.01. El estndar IEC 1508 ha sido desarrollado bajo el concepto de aplicacin para cualquier proceso industrial que utiliza equipo Elctrico/Electrnico/PE. El estndar emplea el modelo de ciclo de vida para identificar y proveer una gua para todas las actividades relacionadas con la seguridad, provee tambin un modelo basado en parmetros de desempeo como los riesgos de proceso y puede ser objetiva y sistemticamente utilizado en cualquier industria. El estndar provee una gua para la determinacin del nivel de integridad (SIL) . Este estndar comprende siete fases, las mas significantes son las primeras tres que en conjunto proporcionan: 1) Los Requerimientos de Reduccin de Riesgos de Procesos. 2) Una Gua de Actividades del Ciclo de Vida. 3) Definicin del Esquema de Clasificacin para la Seguridad, Referido como Nivel de Integridad de Seguridad SIL (Safety Integrity Levels) ver tabla #1, 4) El Proveer una Gua de Diseo, Pruebas, Certificacin de Seguridad, Integracin del Hardware y Software de los Sistemas de Seguridad. Las otras cuatro partes se concentran en definiciones, normatividad y anexos de informacin del estndar. El estndar desarrollado por la Sociedad de Instrumentistas de Amrica (ISA) es el S84.01 y se desarrollo para aplicarse en sistemas de seguridad de procesos industriales, este sigue el mismo modelo de ciclo de vida que el IEC 1508, tambin utiliza la tabla #1 pero no considera el nivel SIL4, la IEC se encuentra trabajando para convertir el estndar ISA en un estndar IEC

La IEC 1508 y la ISA S84.01 proveen una gua para la evaluacin de desempeo de los sistemas de seguridad que va desde los sensores de campo, la lgica y los controladores hasta los elementos finales de control, la norma DIN 0801 realiza una evaluacin nicamente sobre la lgica y controladores, basandose en tcnicas cualitativas, por eso es difcil realizar una equivalencia de las normas, especficamente en la evaluacin de los niveles de integridad de los sistemas de seguridad y proteccin, la figura #1 representa el dominio de cada norma.

1.1.-Niveles de Control
Sistemas de Gas y Fuego Sistema de Seguridad Sistemas Basicos de Control Procesos
IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA 3

Sistemas de Seguridad
Un mtodo muy utilizado en los sistesistemas de seguridad en el control de procepro cesos es el mtodo basado en la DIN 19250, este es un mtodo Cualitativo, en el cual el concepto de riesgo es asumido basandonos en tcnicas de comparacin y consecuencia y esta orientado a ser manejado por personal con experiencia en los procesos, esta tcnica tiene como complicaciones: 1) Esta basado en la experiencia del que lo desarrolla, algunas veces produce resultados incongruentes. 2) No provee un mtodo explcito para el manejo de evaluacin de diferentes tecnologas. 3) Es difcil de documentar. 4)No provee un mtodo de manejo y monitoreo de cambios en sistemas y proceso. 5) Es difcil de utilizar en procesos complejos. En contra parte como beneficio es su fcil
Dominio de DIN Dominio de IEC/ISA
Logica

1.2-Dominio de Aplicacin de IEC,ISA y DIN

Figura #1
Sistema de Seguridad

Aseguramiento de Riesgos

DIN 0801

Sensor Logica Elemento Final

Sensor

Elemento Final

Actividades de Mantenimiento

1.3-OSHA PSM
La regla de la OSHA PSM, Es una lista larga de requerimientos para diferentes productos qumicos e hidrocarburos, esta determina valores que las compaas deben de cumplir en el almacenamiento, uso, manejo y produccin para cumplir con las leyes. Las leyes estn basadas en valores que de acuerdo a estndares las compaas deben de cumplir, para la obtencin de los valores las compaas deben de realizar anlisis de riesgos de proceso, estos anlisis son los llamados Informacin de Seguridad de Procesos (PSI) y El Anlisis de Riesgos de Proceso (PHA) as tambin determina los Procedimientos Operativos, Entrenamiento a Operadores, Responsabilidades en el Pre-Arranque y Control, Auditorias de Seguridad, Manejo de Sub-Contratistas, Participacin de Empleados y Secretos las Compaas.

1.4-EPA, RMP. Plan de Manejo de Riesgos

Las reglas de la EPA para el Plan de Manejo de Riesgos, esta diseando para prevenir las fugas al medio ambiente de sustancias txicas o peligrosas de manera accidental, estas reglas fijan los requerimientos mnimos para instalaciones fijas, en el desarrollo de programas de manejo de riesgos, usando modelos de dispersin para cuantificar los las concentraciones de materiales peligrosos en determinados puntos, las empresas son responsables de emitir documentos a las poblaciones adjuntas y desarrollar planes de contingencia con las poblaciones, se tienen responsabilidades de manejo histrico de cinco ayos de los accidentes y operaciones, as como el de desarrollar planes para la reduccin de riesgos.

uso en evaluaciones iniciales.

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

Sistemas de Seguridad

1.5-Mtodos Cualitativos y Cuantitativos

Figura #2 Mtodo Cualitativo DIN 0801
D IN 1 9 2 5 0 C lase, Requerimientos

Tambin se puede emplear un mtodo Seme Cualitativo para el anlisis de

Probabilidad de que Ocurra un Evento Indeseable Eridas

riesgos, este es utilizado para determinar reas de riesgo y sus potenciales problemas, mas que determinar el grado exacto y absoluto de riesgo, se pueden identificar los siguientes pasos en este mtodo. 1) Identificar escenarios de riesgo. 2) Identificar los eventos bsicos para cada escenario. 3) Asignar equivalencias de riesgo para cada evento. 4) Desarrollar un anlisis de consecuencias. 5) Asignar un rango de severidad para cada consecuencia. 6) Evaluar los riesgos y sus consecuencias. En este mtodo se desarrollan las matrices de riesgos de procesos para seleccionar el nivel de integridad en la seguridad.

S1
Posible Una Muerte Raro

W3 1 G1 G2
Indeceado

W2 1 2 3 4 5 6 7 8

W1 1 2 3 4 5 6 7 8

2 3 4 5 6 7 8

S2

A1 A2
Frecuente

G1 G2

Varias Muertes

Aplicacion

S3
Muchas Muertes

A1 A2

S4

Dao Externo

Exposicio n a Peligro

Prevencion de Peligro

El Mtodo Cuantitativo: Este mtodo identifica y cuantifica los riesgos asociados en los procesos con los accidentes potenciales, como resultado puede ser utilizado para prioridad las funciones de seguridad y establecer rangos, esto con el fin de poder reducir el nivel aceptable de riesgo en los procesos, se pueden distinguir los siguientes pasos: 1) Identificar las reas peligrosas en los procesos. 2) Identificar el nivel de seguridad deseado. 3) Identificar los eventos iniciales. 4) Desarrollar los escenarios de accidentes para cada evento utilizando tcnicas de modelado de secuencias de accidentes. 5) Calcular la probabilidad de accidentes de acuerdo a los eventos y calcular la seguridad de los sistemas existentes, utilizando tcnicas como, Markov, Arboles de Fallas. 6) Cuantificar el nivel de ocurrencia de los accidentes. 7) Evaluar las consecuencias de los diferentes escenarios. 8) Integrar los resultados. 9) Identificar los escenarios que no cumplen con el nivel de seguridad deseado. 10) Definir las funciones de seguridad requeridas para reducir el riesgo a niveles aceptables de acuerdo al nivel SIL. Los beneficios con este mtodo son: 1) Un mejor entendimiento de los procesos. 2) Una mejor cuantificacin de los riesgos. 3) La evaluacin del nivel de seguridad de los sistemas existentes. 4) La identificacin de cada funcin de seguridad necesaria para la reduccin de riesgos. 5) La comparacin del nivel de riesgo actual contra el deseado. Como contra parte este mtodo es caro, requiere de personal con conocimientos de proceso, matemticas, seguridad y manejo de computadoras y consume tiempo. Aun as es el mtodo mas confiable tanto para procesos sencillos como complejos y su aplicacin se ha difundido en los ltimos tiempos ya que la seguridad es vista como un negocio internamente en los complejos industriales mas aya de una ayuda o un requerimiento.

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

Como conclusin podemos decir que los mtodos cualitativos requieren de personal con experiencia en el desarrollo de este tipo de anlisis, pero es una buena opcin en la fase de evaluacin preliminar o como anlisis rpido para la seleccin de sistemas de seguridad, mas aun cuando sabemos que otras tcnicas sern implementadas, la tcnica semi cualitativa, nos provee de una metodologa, pero los valores se seguridad estn basados determinaciones empricas o de juicio, nos da tambin una evaluacin basada en el ciclo de vida del sistema y nos proporciona una buena documentacin. El mtodo cuantitativo nos da valores absolutos y nos determina el nivel real de seguridad de procesos y sistemas, es aceptada por la OSHA y la EPA y provee una exacta documentacin y manejo de seguridad en los procesos.

1.6-Mtodos Cualitativos y Cuantitativos

Figura #3 Mtodo Semi Cualitativo

1. Analizar Peligros 2. Identificar Sistemas relacionados a seguridad 3. Desidir el nivel de integridad deceado 4. Disear utilizando los criterios de integridad para la aplicacin especifica 5. Fijar la integridad del sistema de seguridad de acuerdo a la integridad deceada 6. Asegurarse de que se cumpla el nivel de seguridad

Especificar el nivel de integridad utilizando la estrategia de los tres

Definir las medicions que constituyen los elementos de la aplicacin

Integridad para: 1. Bases de diseo 2.Bases de Analisis

1.7-Seleccin de Niveles de Riesgo en Procesos

Figura #4 Niveles de Riesgo

Seleccin de Riesgo
Riesgo Actual s Reduccion de Riesgo

Respuesta a Emergencias Proteccion Mecanica Sistemas de Represion Sistemas Proteccion y Seguridad Sistema Monitoreo y Alarma Control Basico de Procesos

Riesgo Aceptable

R=fxC

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

2.-Determinacin del Nivel de Integridad SIL

Para facilitar la deter-

El estndar de la IEC 1508 y la especificacin ISA S84.04, han desarrollado una tcnica para la determinacin del Nivel de Integridad de Seguridad o SIL (Safety Integrity Levels) que todo sistema de seguridad deber de cumplir. Los Nivel requeridos derivan del anlisis de riesgos potenciales de los procesos, como son los peligros y consecuencias. El anlisis y el nivel SIL resultante debern de aplicarse para cada funcin de seguridad implementada. El nivel SIL es la segunda fase en la implementacin de sistemas de seguridad. la primera como se ha estado mencionando es la metodologa de anlisis de riesgos de proceso, de hecho, la determinacin del SIL es una consecuencia de estos anlisis.
HAZOP FASE DE ESTUDIO Cuantitativa s Analisis Riesgos : Por Calculos Objetivo PFD AVG Frecuencia Eventos ISA SP.84 / IEC SC 65 SAFETY INTEGRITY LEVEL SIL

minacin del nivel de integridad de seguridad la IEC ofrecen la informacin completa de tablas de valores calculados de la Probabilidad de Falla Sobre Demanda para varias arquitectura como son 1oo1, 1oo2, 2oo2, 1oo2D, 2oo3. Pero estas arquitecturas son genricas. Hoy da se han determinado 5 posibles arquitecturas de sistemas de seguridad sin incluir equipo de campo, cuando este se considera se tienen 80 combinaciones posibles (La ISA identifica 14 combinaciones sistemas) si adems se consideran los 32 sistemas bajo el concepto de alambrado fsico de lgica, se tienen un total de 110 diferentes combinaciones de sistemas de seguridad. Algunas organizaciones ofrecen paquetes de software para facilitar estos clculos (ej. Casspack, ISA, SIS Solver SIL Computation)

Identificar todos los peligros en el proceso : Causas Consecuencias Nivel Demanda Relacion Paros Frecuencia

4 4 3
Cualitativo s Analisis Riesgos : Por Evaluacion Frecuencia Consecuencia Tiempo de Exposicion Evitacion

2 1 0 0

Figura #5 Relacin de SIL con HAZOP

El objetivo en esta seccin el de presentar de una forma simplificada el nivel SIL para varias arquitecturas de sistemas de control, el anlisis de SIL contempla a sistemas completos, desde sensores de campo, entradas y salidas del sistema, controladores y elementos finales de control. El Nivel de Integridad de Seguridad (SIL) es determinado por los clculos de la Probabilidad de Falla Sobre Demanda (PFD) de todos los subsistemas que componen al sistema de seguridad y con la combinacin individual de los valores de los subsistemas se obtiene el valor del sistema completo, esto expresado de la siguiente forma.

Seccion de Sensores y Entradas al Sistema

Seccion de Resolucion de Logica

Seccion de Elemento Finales y Salidas del Sistema

LS PFD AVG = PFD S + PFD LS + PFD FE

Figura #6 Determinacion de PFD

FE

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

2.1-Determinacion del Nivel de Integridad SIL

El SIL se obtiene mediante la combi combinacin de varias consicon deraciones de diseo: funciones de control y seguridad. 2) Niveles considerados. 3) ciones en el diseo de software. 4) seleccin Relacin de fallas y dos de falla. 6) ArquiFuentes de poder del sistema. 8) Causas de sistema. 8) Nivel de nosticas. 9) Dispositivos de Campo. 10) ces de operacional. 11) Seguridad deseada. 12) sistema. 13) cin. 14) Intervalos de prueba funcional.

Figura #7 Determinacion de SIL de acuerdo a PFD

Safety Integrity Level 4 3 2 1 0

En Control Continuo Fallas Peligrosas por Hora 1 0 -9 t o < 1 0 -8 1 0 -8 t o < 1 0 -7 1 0 -7 t o < 1 0 -6 1 0 -6 t o < 1 0 -5 1 0 -5 t o < 1 0
0

S ist. de Proteccion Probabilidad de Falla Bajo Demanda < 99.99% 99.9%<99.99% 99%<99.9% 90%<99% >90%

Definiciones
T1 : Periodo de Intervalo de Pruebas (hr) rangos (4380 hr, 8760 hr, 17520 hr, 87600 hr)

MTTR : Tiempo Medio de Reparacion (hr) rangos (8 hr) DC : Cobertura por Diagnosticos (%) : Relacion de Fallas (hr -1 : Relacion de Fallas Peligrosas (%) rangos (0.5 DD
DU

rangos (0%, 60%, 90%, 99%)

: Relacion de Fallas Peligrosas, Fallas no Detectadas (%)

Determinacin de PFD para Sensores: a) Dibujar un diagrama de bloques que muestre los elementos de entrada del sistema (sensores, barreras, acondicionadores de entradas, mdulos de entradas, etc.) representando para cada elemento su arquitectura. (1oo1, 1oo2, 2oo3, 2oo2, 1oo2D). b) Referirse a las tablas publicadas de la IEC, para obtener la PFD de los elementos, aqu se debe de escoger la tabla dependiendo de Intervalo de Pruebas, MTTR, Arquitectura, Causa Comn de Falla, Relacin de Falla y el Tiempo de Diagnsticos. c) Algunos de los datos se pueden obtener con los siguientes criterios; la Relacin de Fallas se obtiene generalmente de datos del fabricante, en el caso de los valores de Cause de Falla Comn se debe considerar que se debe de seleccionar 1% para sistemas que tienen diagnsticos igual o mayor de 90%, 5% para sistemas que tienen diagnsticos menores de 90% o equipo de campo con diagnsticos mayores o iguales de 90%, y 10% para equipo de campo con diagnsticos menores de 90%. d) La PFDS del sistema de entradas es igual a la suma de los valores individuales de PFD de elementos de entrada.

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

2.2-Determinacion del Nivel de Integridad SIL

La determinacin del nivel de integridad de

Determinacin de PFD de Elementos Finales: a) Dibujar un diagrama de bloques que muestre los elementos de salida del sistema (vlvulas, motores, acondicionadores de salidas, mdulos de salida, etc.) representando para cada elemento su arquitectura. (1oo1, 1oo2, 2oo3, 2oo2, 1oo2D). b) Referirse a las tablas publicadas de la IEC, para obtener la PFD de los elementos, aqu se debe de escoger la tabla dependiendo de Intervalo de Pruebas, MTTR, Arquitectura, Causa Comn de Falla, Relacin de Falla y el Tiempo de Diagnsticos. c) La PFDFE del sistema de salidas es igual a la suma de los valores individuales de PFD de elementos de salida. Determinacin de PFD de Sistema de Lgica: a) Dibujar un diagrama de bloques que muestre los elementos de control del sistema (CPU, Fuentes de Poder, Comunicaciones, Racks, etc.) representando para cada elemento su arquitectura. (1oo1, 1oo2, 2oo3, 2oo2, 1oo2D). b) Referirse a las tablas publicadas de la IEC, para obtener la PFD de los sistemas de lgica, aqu se debe de escoger la tabla dependiendo de Intervalo de Pruebas, MTTR, Arquitectura, Causa Comn de Falla, Relacin de Falla y el Tiempo de Diagnsticos. c) La PFDS del sistema de lgica es igual a la suma de los valores individuales de PFD de elementos que componen el sistema de lgica. Como calculamos el SIL y que informacin requerimos: La tabla #2 nos proporciona la informacin requerida para calcular el SIL utilizado un programa de calculo en Excel, las tablas 3 y 4 los resultados. Para obtener algunos valores es necesario realizar algunos clculos, por ejemplo los valores de MTBF son obtenidos calculando la Relacin de Falla de los componentes, de tal forma que MTBF=1/RF, los valores de MTTR estn basado en la experiencia y el uso de sistemas en diferentes aplicaciones, el STI (System Test Interval), SETC (System Electrical Test Coverage) EDLS (Engineering design life of system) y OTD (Offline test duration) son determinados por la experiencia y bases de datos que nos muestran los valores mas adecuados.
Mean tim e between CPU failures: CPU automatic diagnostic coverage: CPU common cause Beta factor: MTBF of single digital I/O module: No. of digital modules considered in initiating (FTS) calculation: No. of digital mod's considered in inhibiting (PFD) calculation: MTBF of single analog I/O module: No. of analog modules considered in initiating (FTS) calculation: No. of analog m o d 's considered in inhibiting (PFD) calculation: I/O module automatic diagnostic coverage: I/O module automatic diagnostic test interval: I/O module common cause Beta factor: System test interval: System electrical test coverage: Engineered design life of system: System MTTR (Mean-Time-To-Repair): Common cause (systematic) failure rate: Offline test duration: 21 (years) 9 9 % (percentage) 1,00% (percentage) 7 (years) 1 6 (usually the total) 1 (usually 1) 9,2 (years) 7 (usually the total) 1 (usually 1) 9 9 % (percentage) 0,1 (minutes) 1,00% (percentage) 24,0 (hours) 1 0 0 % (percentage) 30 (years) 48,0 (hours) 1,00E-07 (failures per hour) 1,0 (minutes)

seguridad SIL esta determinado por una gran cantidad de factores y esta ntimamente ligado al diseo bsico del sistema de seguridad, de hecho resulta difcil el no establecer una relacin entre estos ya que la metodologa desarrollada por la IEC considera la determinacin del SIL basandose en consideraciones de diseo como son el tipo de arquitectura, la redundancia en los componentes de campo, el nivel de diagnsticos y pruebas del sistema deseado, el tipo de componentes utilizadosTambin es importante entender que no solo se debe de establecer un cierto nivel SIL deseado para la aplicacin de seguridad que nos ocupe, es importante determinar el nivel SIL por reas de proceso ya que esto no solo nos proporcionara una documentacin precisa de nuestros procesos sin que tambin nos permitir evaluar el nivel requerido por rea y as poder disear e implementar un sistema atractivo en su costo.

Tabla #2 Ejemplo Tpico de Informacin Requerida para el Calculo SIL

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

2.3-Determinacion del Nivel de Integridad SIL

La tabla #5 nos proporciona el calculo del SIL utilizando los valores obtenidos al calcular el PFD (Probabilidad de Falla bajo Demanda). Como conclusin podemos decir lo siguiente: 1) Diferentes arquitecturas en los sistemas de seguridad pueden tener un mismo nivel de SIL. 2) El sistema que tiene mejor relacin de deteccin de Falla Segura es el sistema 2oo3 con degradacin 3,2,1,0, pero no es recomendable para seguridad ya que puede ocasionar una condicin insegura. 3) Los sistemas que tienen mejor confiabilidad son las arquitecturas 1oo2D y 2oo2D. 4) El sistema con mejor confiabilidad es el 2oo2D. 5) Los sistemas con mejor rango de falla peligrosa son 2oo3. 6)Los sistemas con mejor rango de paros en falso son los 2oo2D y 1oo2D. 7) Como conclusin final podemos decir que los sistemas mas confiables son en orden, 2oo2D, 1oo2D y 2oo3, y los sistemas con mejor disponibilidad son en orden 2oo3, 1oo2D y 2oo2D.
1 ,0E - 0 2 1 ,0E - 0 3 1 ,0E - 0 4 1 ,0E - 0 5 1 ,0E - 0 6 1 ,0E - 0 7
1,0E-07 1,0E-06 1,0E-05 1,0E-04 1,0E-03 1,0E-02 1,0E-01
F a il T o D a n g e r ( F a i l u r e s p e r Y e a r ) R e la t e s T o P l a n t S a f e t y R e l i a b i l i t y

Tabla #3 y 4 Resultados de los Clculos SIL, Ejemplo.

Default Degradation: Logic System: Fail-To-Safe (detected) years: Availability (initiating):

1-0 1oo1 0,5 98,9385%

2-1-0 1oo2D 16,7 99,9558%

2-1-0 2oo2D 16,7 99,9678%

3-2-0 2oo3 12,5 99,9230%

3-2-1-0 2oo3 51,7 99,9892%

PFS or Unavailability (initiating): 1,061E-02 4,416E-04 3,218E-04 7,699E-04 1,075E-04 Fail-To-Danger (hidden) years: 704 86.613 80.326 66.212 65.647 PFD or Unreliability (inhibiting): Reliability (inhibiting): 1,42E-03 99,8579% 1,15E-05 99,9988% 1,24E-05 99,9988% 1,51E-05 99,9985% 1,52E-05 99,9985%

1oo1 TI 1 3 6 12 36

Hazard Reduction Factor: (1/PFD) For Test-Interval (in months) 1oo2D 2oo2D 2oo3 HRF 58 159 285 473 840 TI 1 3 6 12 36 HRF 30.653 55.719 70.024 80.310 88.881 TI 1 3 6 12 36 HRF 892 7.465 24.175 54.875 TI 1 3 6 12 36 HRF 12.759 29.114 42.841 56.042 70.438

87.793

Tabla #5 Calculo del SIL con los Valores de PFD, Ejemplo

Default Degradation: 1-0 2-1-0 2-1-0 3-2-0 3-2-1-0

Logic System:
PFD or Unreliability (inhibiting): Reliability (inhibiting):

1oo1
1.42E-03 99.8579%

1oo2D
1.15E-05 99.9988%

2oo2D
1.24E-05 99.9988%

2oo3
1.51E-05 99.9985%

2oo3
1.42E-05 99.9986%

Safety Integrity Level:

Figura #8 anlisis de los Sistema de acuerdo a su arquitectura para falla segura y falla peligrosa, Ejemplo.

1 ,0E - 0 1

'3-2-0 '3-2-1-0 '2oo2D '1oo1 '1oo2D

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

10

3.-Tecnologas de Seguridad y sus Arquitecturas

+
Output Circuit
Arquitectura para bajo modo de operaoperacin 1oo1. Esta arquitectura consiste en un elemento sencillo, donde cualquier falla peligrosa que se presenta en el sistema deber de prevenirse, alarmarse y comenzar un proceso correctivo. Las figuras mostradas muestran diagramas de bloques y de markov, aqu el valor de relacin de falla es: Ecuacin#1 Cuando dos elementos se encuentran en serie con diferentes tiempos de operacin, para poder calcular la disponibilidad del sistema es necesario calcular la equivalencia de un solo evento que involucre a los dos sistemas en serie, esto se realiza calculando la contribucin de cada elemento al tiempo efectivo en que cada elemento se encuentra fuera (tdevice), en una proporcin directa a la contribucin individual de probabilidad de falla de cada componente para cada canal.: Ecuacin #2 Para cada arquitectura la probabilidad de detectar una falla peligrosa y la probabilidad de no detectar una falla peligrosa esta dada por: Ecuaciones #3, 4 Aqu para 1oo1 el promedio de la probabilidad de falla es: Ecuacin #5

Sensor

Input Circuit

Logic Solver
Common Circuitry

MP Arquitectura 1oo1

Actuador
Elemento Final

F S
S D

S U

D D

S D

O K 0
D U

F D D
O

F D U 1 o o 1 M a r k o v m o d e lo . 3

Watchdog Timer

Alar m

+
Sensor
Input Circuit Logic Solver
Common Circuitry
Output Circuit 1

MP

Output Circuit 2

Actuator
Final Element

Arquitectura 1oo1 con watchdog timer.

D = DU + DD =
t DE =

Ecuacin #1 Ecuacin #2 Ecuacin #3 y 4 Ecuacin #5

DU T1 DD + MTTR + MTTR D 2 D

DU

= (1 DC ) 2

DD

= DC 2

PFDAVG = (DU + DD )t DE
IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

11

Para arquitectura 1002 los dos elementos estn conectados en serie, de tal forma que cada elemento puede disparar el paro de emergencia, el sistema tiene una baja disponibilidad ya que al falla de un elemento el sistema deber de ir a paro, aqu el calculo de tDE (tiempo medio promedio del dispositivo fuera) esta dado por la formula #2, pero tenemos que calcular tSE (tiempo medio promedio del sistema fuera) que esta dado por la ecuacin #6, para este sistema el valor de PDF esta dado en la ecuacin #7.

3.1-Tecnologas de Seguridad y sus Arquitecturas

+
Output Circuit Input Circuit Logic Solver
Common Circuitry

MP Sensor
Output Circuit Input Circuit Logic Solver
Common Circuitry

MP Arquitectura 1oo2

Actuator
Final Element

SDC+ SUC+ 2 SDN+ 2 SUN S

Degraded - 1 Fail Detected 1

SD

System FailSafe 3

2 DDN
OK 0

O 2 DUN

S
Degraded - 1 Fail Undetected 2

DD DU O

System FailDanger 4

DDC DUC

System FailDanger Undetected

1oo2 Markov modelo.

t SE =

DU T1 Ecuacin #7 + MTTR + DD MTTR D D 3

2 T PFDAVG = 2((1 ) DD + (1 2 ) DU ) t DE t SE + DD MTTR + 2 DU 1 + MTTR 2

Ecuacin #8

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

12

3.2-Tecnologas de Seguridad y sus Arquitecturas

En la arquitectura 2002 los dos elementos se encuentran en paralelo, esto quiere decir que para que el sistema accione un paro de emergencia se requiere que alguno de los dos elementos realice la lgica, esta ar-

Output Circuit Input Circuit Logic Solver

Common Circuitry

MP

Sensor
Output Circuit Input Circuit Logic Solver
Common Circuitry

quitectura tiene una mejor disponibilidad que 1oo2 pero es inseActuator

Final Element

MP

Arquitectura 2oo2

gura y tiene una baja confiabilidad y un nivel de diagnsticos pobre que en consecuencia podra generar una condicin de falla

SDC+SUC 2SDN
OK 0

SD S
Degraded - 1 Fail Detected 1

System FailSafe 3

peligrosa, el calculo de PFD esta dada en la ecuacin # 8

O 2SUN

S
System FailDanger

DD
Degraded - 1 Fail Undetected 2

DU

DDC +2DDN DUC+2DUN

System FailDanger Undetected

2oo2 M arkov modelo.

PFD AVG = 2 D t DE

Ecuacin #8

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

13

Las arquitectura 1oo1D estn basadas en el concepto de tener un CPU que realiza las funciones de control y otro CPU (que no realiza lgica de control) para diagnosticar el sistema y as vigilar la integridad de este, pero el CPU de diagnsticos tambin realiza las funciones de falla segura, al detectar por medio de diagnsticos y autopruebas que el sistema tiene fallas automticamente enva el sistema a falla segura, por medio de un dispositivo de control, la ventaja de estos sistemas es el alto nivel de diagnsticos y la posibilidad de falla segura, en contra parte tiene una baja disponibilidad.

3.3-Tecnologas de Seguridad y sus Arquitecturas

+
Diagnostic Circuit(s) Output Circuit
Actuator
Final Element

Sensor

Input Circuit

Logic Solver
Common Circuitry

MP Arquitectura 1oo1D

+
Watchdog Timer

Sensor

Input Circuit

Logic Solver
Common Circuitry

Output Circuit 1

MP

Output Circuit 2

Actuator
Final Element

Arquitectura 1oo1D con watchdog timer.

S D

S U

D D

FS
D S

O K 0 F D U
D U

1 o o 1 D M a r k o v m o d e l.

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

14

3.4-Tecnologas de Seguridad y sus Arquitecturas

La arquitectura 2oo3 consiste en tres elementos conectados en paralelo con un arre-

A
Input Circuit Logic Solver
Common Circuitry
Output Circuit 1

+
MP A B A C B C

glo de votacin para las salidas, donde esta tomara accin siempre y cuando dos elementos del sistema lo deterVoting Circuit

Output Circuit 2

B Sensor
Input Circuit Logic Solver
Common Circuitry
Output Circuit 1

MP C
Input Circuit Logic Solver
Common Circuitry

Output Circuit 2

minen, se asume que los diagnsticos de pruebas solo reportara las fallas y no realizar

Output Circuit 1

MP

Output Circuit 2

Arquitectura 2oo3

Actuator
Final Element

cambios en la lgica de salida. La tecnologa de estos sistemas puede tener algunas variaciones, por ejemplo encontra-

B C
Voting Circuit

mos sistemas TMR en

C
Voting Circuit

los cuales las tres CPUs estn en el mismo rack y cuentan con arreglos de fuentes de poder duales, en otros casos las fuentes de poder son instaladas externamente en arreglos tolerantes a falla, hay algunas tecnologas en las que los tres CPUs estn en tres racks independientes estas reciben el nombre de Triple Tri-

Open circuit failure: system degrades to 1oo2

Short circuit failure: system degrades to 2oo2

Arquitecturas 2oo3 modos de degradacion sencillos

A B A C B C A B A C B C

Voting Circuit

Voting Circuit

ple Redundancia (TTMR), lo importante aqu es entender como se comportan en su degradacin y como calcular PFD, ver ecuacin # 9 , tambin debemos de calcular la disponibilidad, que es una ventaja en estos sistemas

Open circuit failure: system fails de-energized

Short circuit failure: system fails energized

A rquitectura 2oo3 modo de degradacion doble

2 T PFDAVG = 6((1 ) DD + (1 2 ) DU ) t DE t SE + DD MTTR + 2DU 1 + MTTR 2

Ecuacin #9

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

15

3.4-Tecnologas de Seguridad y sus Arquitecturas

3SDC+ 3SUC SD 3SDN O 3SUN

SUN O K SDN SC+ 2SN 2DDN

SC+ 2SN

FS 9

SDC+ SUC

SDC+ SUC

O O
2DUN

SDN DDN

5
2SDN 2DDN 2
SDN

SDN DUN

6
DU
SUN DDN

3DDN O 3DUN 3DUC 3DDC

DDN

2SUN

DD

3
O DUN

O
2DUN 2SUN DDC+2DDN DDC+2DDN

7
SUN DUN

8
DU DD
DDC

DUC

+2

DUN

DD C DUC

FD
DUC Detecte d 10

DUC

+2

DUN

FD

2oo3 Markov modelo.

Undetected

11

FS 9

SDC+ SUC + SDN DDN 5

SDC

SUC

2 S D N

2 S U N DDN 3 D D C +2 D D N

SUN DDN 7

D DD

DU

D U C +2 D U N

FD Detecte d 10

FD Undetected 11

Degradacion 2oo2 del modo de 2oo3.

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

16

En la arquitectura 1oo2D se tienen dos elementos conectados en paralelo, durante operacin normal ambos elementos pueden generar un paro de emergencia, en adicin si alguno de los elementos de diagnsticos detecta una falla, entonces la salida se adapta por medio de votacin a los dems elementos, si el diagnostico detecta falla en los dos elementos o se tiene una discrepancia que no puede ser determinar el estado final por votacin, entonces el sistema se va a paro de emergencia, para determinar las discrepancias entre los elementos el sistema debe de cruzar la informacin entre los sistemas, la ecuacin #10 determina el tiempo medio fuera de un componente y la ecuacin #11 nos determina el valor para el sistema, la ecuacin #12 nos determina la PFD.

3.6-Tecnologas de Seguridad y sus Arquitecturas

+
Diagnostic Circuit(s)

Output Circuit Input Circuit Logic Solver

Common Circuitry

MP Sensor
Diagnostic Circuit(s)

Output Circuit Input Circuit Logic Solver

Common Circuitry

MP Arquitectura 1oo2D
Actuator
Element Final

SDC+SUC+ DDC + 2SUN S+ DD 2SDN+2DDN

OK 0

SD
Degraded - 1 Fail Detected 1

System FailSafe 3

O 2DUN

S DU

Degraded - 1 Fail Undetected 2

DD
System FailDanger Detected

DU O

DUC

Markov modelo para 1oo2D.

System FailDanger Undetected

T DU 1 + MTTR + ( DD + SD ) MTTR 2 t DE ' = DU + DD + SD T DU 1 + MTTR + ( DD + SD )MTTR 3 t SE ' = DU + DD + SD

Ecuacin #10 Ecuacin #11

T PFDAVG = 2(1 2 ) DU ((1 2 ) DU + (1 ) DD + SD )t DE ' t SE '+ DD MTTR + 2 DU 1 + MTTR 2 Ecuacin #12 IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA 17

4.1- Consideraciones Importantes en un Sistema de Seguridad Caracteristicas de ESD

ESD
Retroalimentacion de Voltaje y Corriente

En un sistema de ESD tenemos: Las entradas y salidas Normalmete Energizadas. Elementos Finales de Control disenados a Falla Segura. By-Pass para Mantenimiento. Botones de paro de emergencia Normalmente Des-Energizados. Retroalimentacion de Corriente y Voltaje. Checar cable roto. Condicion elemento final. Proteccion de Sobre-Carga. Corto Circuito. Normalmente se manejan 24Vdc. Normalmente no se manejan lazos PID. Se requiere Diagnosticos, Reparacion y Programacion en Linea y en Caliente. En el Caso de entradas Analogicas debemos conciderar las rutinas de calibracion en linea sin ocacionar un parro en falso.

By-Pass
CLEAR FAULT

By-Pass

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

18

4.2 Consideraciones Importantes en un Sistema de Seguridad

F&G

Retroalimentacion de Voltaje y Corriente

FIRE

By-Pass
CLEAR FAULT

En un Sistema de Gas y Fuego tenemos: Senales Analogicas para deteccion de Gas Senales Digitales para Fuego y Switchs estas deberan de ser con lineas supervisadas Los elementos finales de control se disenan Normalmente Des-Energizados Los elementos finales se disenan como tolerantes a falla. Se deben conciderar salidas a Luces, Alarmas sonoras. Se debe conciderar supervicion de linea para las salidas, ya que se debe de tener certesa de la condicion de la linea y elementos finales.

CCM

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

S
19

4.3 Consideraciones Importantes en un Sistema de Seguridad

Un punto pocas veces evaluado en los sistemas de seguridad son los elementos externos al sistema que lo afectan, uno de los mas importantes son lo referente a los sistemas de

Alambrados

Circuito de Campo

Inhibicion Manual Entradas al Sistema Accion Manual

By-Pass para las entradas y salidas, estos no solo son importantes sino que son requeridos por las certificaciones como TUV, Normas ISA y IEC, dado que el sistema de seguridad debe de poderse diagnosticar y realizar pruebas manuales, en el caso de las seales de entrada estos bypass pueden ser por hardware (botones, switch, seleccionadores) o bien por software, en el caso de las entradas la posibilidad de realizar esto por software puede simplificar el alambrado siempre y cuando se tenga conciencia del trabajo que se debe de realizar, en el caso de

Circuito de By-Pass Aprovado por la IEC/ISA

By-Pass

Run

las salidas no se tiene opcin los by-pass deben de ser externos, o hardwire, dado que no se pueden forzar a un estado las salidas, si el elemento de salida (modulo) es el que va ha ser removido.

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

20

4.4- Recomendaciones al Disear un Sistema de Seguridad.

1 2 Realizar un Anlisis de Riesgos del proceso y del sistema de seguridad requerido. De no tener tiempo para el paso #1 una buena recomendacin puede ser el fijar un nivel de integridad deseado en el sistema de seguridad para que de esta forma se tenga la seguridad de implementar un sistema de seguridad confiable esto puede encarecer la arquitectura, para el caso del nivel de integridad para todo el sistema incluyendo sensores, elementos finales y controladores, se debe de realizar un anlisis de riesgos cualitativo como mnimo ya que de no realizar esto implicara que para in nivel SIL 3 todos los sensores y elementos finales de control debern de ser duales esto seguramente sacara de presupuesto el sistema de seguridad. Se debern de pedir los clculos a detalle del nivel SIL a los proveedores en la fase de evaluacin ya que en algunos casos se podran incurrir en malas interpretaciones o errores en los clculos, para esto se debe de solicitar 1) Diagramas de Bloques. 2) Clculos a detalle de PFD. 3) Diagramas de Markov. Se debe de pedir que se realicen estos clculos basandonos en la especificacin IEC 61508 aun cuando se encuentre en revisin, esto asegurara el cumplimiento del sistema. Se debern de pedir clculos de MTBF, MTTR, MTTF, y la degradacin del sistema, es importante aqu tambin solicitar los clculos a detalle con su metodologa y verificacin, un numero simple no sirve para comprobar la valides del calculo. Es importante tener un numero alto de contabilidad este valor esta dado por PDF, pero la disponibilidad del sistema tambin es importante, por ejemplo algunos sistemas 2oo2D tiene un valor alto de PFD, pero a falla del primer CPU tienen un tiempo limitado para ser reparado, de no ocurrir esto la planta deber de ir a Paro de Emergencia aun cuando no se presenten condiciones en el proceso ya que el sistema esta orientado a falla segura. Es importante considerar que se deben de tener sistemas de by-pass para pruebas y diagnsticos manuales, un valor en el calculo de MTBF es el tiempo de pruebas manuales, es por esto que se deber de disear o solicitar en el sistema los by-pass externos, en el caso de los sistemas de Gas y Fuego se deber de considerar tambin las matrices lgicas de fuego. Un punto realmente importante y pocas veces considerado es el nivel de documentacin la especificacin IEC 61508 especifica como de debe de documentar un sistema de seguridad, es importante hacer notar esto ya que los requerimientos son altos y esto deber de afectar el precio, tradicionalmente se considera la documentacin como un sub producto de la ingeniera esto no es cierto para los sistemas de seguridad. Un sistema de seguridad no debe de ser visto como un PLC, ya que las implicaciones tcnicas y legales son complejas, es por esto que la experiencia del integrador es importante, se ha podido demostrar que muchos integradores sin experiencia realizan trabajos que no pueden ser certificados. Un factor muy importante lo representan las fuentes de poder del sistema y de suministro a los transmisores, el arreglo deber de ser tolerante a fallas y las fuentes debern de estar certificadas para funciones de redundancia. En el caso de los mdulos de salida se debe de considerar que diagnsticos y niveles de proteccin se requieren, por ejemplo muchas veces observamos sistemas dobles o triples con una clema de salida con fusible, cuando hay una sobre carga o corto circuito el fusible se vuela (recordemos que los fusibles protegen el cable no al sistema de seguridad) la pregunta es para que tener un sistema muy caro, redundante, con aprobaciones internacionales si al destruirse un fusible de 2 Pesos, nos imposibilitamos a mandar la planta a condicin segura, hoy da la tecnologa puede evitar tener esto instalando tecnologas que no requieren fusibles, que protegen contra corto circuito y sobre carga, monitorean al elemento final y la continuidad de seal en el cable,detectan cable roto, etc.. Otro factor importante a considerar es la comunicacin a DAS o PC/SCADA, debemos evaluar si se quiere enviar la informacin por medio de un canal de comunicaciones o por alambrado fsico y si la informacin va a los controladores o alas estaciones de operacional.

9 10

11

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

21

Referencias: Preformance Based Safety Standars: An Integrated Risk Assessnebt Program. Kumar Bhhimavarapu, Research Engineer, Larry Moore, Senior Engineering Field Specialist, Paris Stavrianidis, Associate Director, Risk Engineering Methodologies. Factural Mutual Research Corporation, Norwood, M<A 02026. Effects of Repair and Maintenance Polices on MTTR of Dangerous Failures. Julia V Bukowski, Villanova University, Villanova, PA William M Goble, Moore Products Co. Design Selection Considerations For Safety Systems Hardware. Ken Simpson, Silvertech Limited. Safety of Programable Electronic System: Critical Issues, Diagnostic, and Common Cause. Technical Paper Moore. William M Goble Moore Products Co. Systemetics Failures in Safety Systems Prof.Dr. Ir A.C. Brombacher, Ir. MJM Houtermans, Ing R Th E Spiker, Ir JL Rouvroye Eindover University of Technology. Redundant Control Strategies. Thomas A Walczak GE Fanuc N.A. Inc. New Regulations and their Effect on High Availability Monitoring and Control Systems. Thomas A Walczak GE Fanuc N.A. Inc. CEI IEC 61508 1 to 7 Functional safety of electrical/electronic/programable electronic safety related systems 1997 ISA-S84.01-1996 Application of Safety Instrumented Systems for the Process Industries.

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

22

IN-SAFE es una publicacin no lucrativa de SIMPSA SA de CV. se emite cada dos meses bajo libre suscripcin y se encuentra sujeta a errores tcnicos y de interpretacin, si desea subscribirse o enviar comentarios, recomendaciones o correcciones favor de enviar sus datos por fax o e-mail. Si desea publicar un articulo favor de ponerse en contacto con el responsable de la publicacin.

Nombre y apellidos: Direccin: Ciudad: Provincia o estado: Cdigo postal: Telfono,Fax: email:

Comentarios: Direccin: Ciudad: Provincia o estado: Cdigo postal:

Responsable: Vctor Machiavelo Director General de SIMPSA Isabel La Catlica 922, Col Postal, Mxico DF. 03410 Tel 696-3400 Fax 696-3652 e-mail athenea@mpsnet.com.mx simpsa@mail.internet.com.mx

IN-SAFE UNA REVISTA DE SEGURIDAD DE SIMPSA

23