Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Propiedad de la Informacin
El material de este curso es de propiedad del instructor y por ninguna circunstancia este
material, o parte del mismo, podr ser reproducido o transmitido en ningn formato, o medio, ya sea mecnico o electrnico. Esto incluye fotocopiado, microfilmado, registro o almacenamiento en computadoras sin el consentimiento previo y por escrito del instructor.
Notas
El instructor no asume ninguna responsabilidad por el material del curso mas all del
propsito definido de entrenar a los asistentes en los fundamentos bsicos de Seguridad Funcional.
El material provisto no ser utilizado, ya sea en forma parcial o total, para otros cursos
de entrenamiento que aquellos dictados por el instructor.
Las marcas y productos mencionados en las filminas son propiedad de los fabricantes.
Temas de Anlisis
Temas de anlisis
Accidentes industriales emblemticos Lecciones aprendidas Qu es Seguridad? Qu es Seguridad Funcional? Gestin de la Seguridad Funcional Si en la planta no ha ocurrido un incidente en los ltimos 15 aos
que haya puesto en riesgo la seguridad, es una planta segura?
Qu es un Sistema Instrumentado de Seguridad SIS? Se dispone de normas, cdigos y prcticas recomendadas para
el diseo de SIS?
Temas de anlisis
Cuales son los riesgos dentro de la planta? Identificacin de Peligros y Anlisis de Riesgo Tcnicas y mtodos para el Anlisis y Evaluacin de Riesgos Qu es un nivel de riesgo aceptable? Tecnologas disponibles para el diseo de SIS: rels mecnicos,
rels estado slido, sistemas de estado slido, SEPs...
Temas de anlisis
De donde se obtienen los datos de fallas? Intervencin humana o SIS automtico? Arquitectura de SIS Tolerancia a falla. Votacin Cobertura de diagnstico Verificacin y Validacin Instalacin, Operacin y Mantenimiento
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Incidente
Nypro
Flixborough, GB
Fecha
06/1974 11/1984 12/1984 05/1988 10/1989 07/1990
Vctimas Fatales
84 500 2500 7 23 17
Heridos
36 4500 200.000+ 40 130+ ----
Prdidas, M$
100 50 1000 500+ 750 35
PEMEX
Mexico City, MX
Union Carbide
Bhopal, India
Shell
Norco, LA
Phillips
Pasadena, TX
ARCO
Channelview, TX
Incidente
NNPC
Nigeria
Fecha
1988 09/2001 08/2003 01/2004 03/2005 07/2005
Vctimas Fatales
650 31 9 23 15 22
Heridos
1000+ 2500 40 74 170 200
Prdidas, M$
AZF
Toulouse, Francia
Repsol YPF
Puertollano, Espaa
Sonatrach
Skikda, Argelia
Refinera BP
Texas, USA
ONGC
Mumbail, India
Por qu ocurren?
Conceptos generales
Defectos tcnicos Errores en la operacin Factor humano reaccin ante peligros Pobres prcticas de mantenimiento Seales de alarma no jerarquizadas Falta de entrenamiento adecuado Problemas de comunicacin Malfuncionamiento de equipos crticos Administracin de los permisos de trabajo Fallas de materiales Condiciones extremas de trabajo
Ing. Qco. Roberto E. Varela
Conceptos generales
Accidentes - Causas
Los accidentes pueden ser causados, generalmente, por fallos o errores humanos, fallas tcnicas o fuerzas externas. Estas son el resultado, en general de mltiples causas, principalmente fallas humanas, que no son debidas slo a los operadores o trabajadores inmediatamente afectados, sino tambin al personal de mantenimiento, supervisores, diseadores de plantas y diseadores y proveedores de equipos. Las fallas tcnicas tienen, en general, su origen en errores humanos tales como un pobre diseo, mantenimiento o uso inapropiado. Por lo tanto, debe prestarse atencin a prevenir, disminuir y/o eliminar los errores y fallos humanos en todos los niveles.
Accidentes - Consecuencias
Consecuencias inmediatas
Pueden ser fatalidades, daos fsicos al personal, daos a las instalaciones de proceso y edificios, contaminacin o daos al ambiente. Los ms afectados, en primer trmino son los trabajadores y las instalaciones pero, segn sea la magnitud del accidente, este puede afectar seriamente a las comunidades cercanas y al medio ambiente.
Accidentes Consecuencias a largo plazo La empresa puede verse afectada seriamente por la reaccin adversa del pblico, publicidad adversa en los medios, costos de reparacin o reemplazo, prdidas de produccin, lucro cesante, demandas judiciales por los distintos afectados. Las personas que habitan las comunidades cercanas pueden verse afectadas fsica y psicolgicamente. Las consecuencias a la salud por exposicin a sustancias qumicas pueden ser inmediatas, o pueden manifestarse en el largo plazo. Adems, pueden ocurrir daos a la propiedad que debern ser resarcidos por la empresa. Adems, en forma subsidiaria, hay que considerar las probables prdidas de valor de las propiedades por la percepcin de vivir en un rea insegura. El ambiente puede verse seriamente perjudicado por la emisin de sustancias peligrosas que pueden afectar la tierra, los animales, los cursos de agua y/o la vegetacin.
Percepcin del riesgo Desarrollo de respuestas ante la emergencia Protocolos de almacenamiento Evaluacin del potencial de escalado Inspecciones y mantenimiento de rutina de equipos crticos Sistemas de Control confiables y adecuados Ubicacin en planta de los edificios principales Informacin al pblico Comprensin de la importancia de la evaluacin de riesgos
Medidas Gubernamentales
SEVESO I CE 1985 SEVESO II CE 1999 SEVESO III CE 2003 OSHA - 1910.119 Process Safety Management Of Highly
Hazardous Chemicals USA 1992
OSHA - Process Safety Management - USA OSHA - Management Of Change - USA EPA Risk Management Program USA 1990 HSE Health & Safety Executive GB 1987
IEC 61508 Functional Safety of E/E/PE safety-related systems IEC 61511 Functional Safety: Safety Instrumented Systems for
the Process Industry
Health and Safety Executive (HSE) PES Guidelines DIN/VDE 0801 General Safety Principles for Vendors Derogada DIN V 19250 "Fundamental Safety aspects for Measurements and
Control Equipment"
Industrias de Procesos
Seguridad - Definicin
Significa estar libre de riesgos inaceptables que puedan provocar daos fsicos o a la salud de las personas, ya sea en forma directa, o indirecta, como resultado de daos a la propiedad o al ambiente
Seguridad Funcional
Es la parte de la seguridad general, relacionada con el EBC y del sistema de control del EBC, que depende del correcto funcionamiento de los sistemas E/E/EP relacionados con seguridad en respuesta a sus entradas. La seguridad funcional se alcanza cuando cada funcin de seguridad especificada cumple con su cometido y el nivel de desempeo requerido de cada funcin de seguridad es cumplido satisfactoriamente. Ni la seguridad y/o la seguridad funcional, pueden determinarse sin considerar al sistema como un todo y al ambiente en el que debe interactuar.
Respuesta de la Comunidad a las Emergencias Respuesta de Planta a las Emergencias Proteccin Fsica Pasiva (Diques o Barreras de Contencin) Proteccin Fsica Activa (Vlvulas de Alivio, Discos de Ruptura) Sistema Instrumentado de Seguridad Alarmas Criticas, Intervencin del Operador Sistema Bsico de Control de Procesos Diseo del Proceso
SIS - Ejemplos
Sistemas de parada de emergencia Sistemas de fuego y gas Control de turbinas Supervisin y control de quemadores Enclavamientos de seguridad y parada de emergencia en
mquinas
Funciones de Seguridad
Funcin de Seguridad: Es una funcin a ser implementada en un Sistema E/E/PE, otro dispositivo relacionado con seguridad o facilidad externa para reduccin de riesgo, cuyo cometido es llevar a, o mantener en, un estado seguro al EBC con respecto a un evento peligroso especfico.
Funcin Instrumentada de Seguridad: es una funcin a ser implementada en un SIS, para llevar a, o mantener en, un estado seguro al EBC, con respecto a un evento peligroso especfico.
Un SIS comprende normalmente ms de un SIF. Un SIF puede incluir muchos sensores y una nica
vlvula de seguridad, o un sensor y ms de una vlvula de seguridad. Cualquier combinacin es posible.
Propiedades bsicas de las SIF: Medicin Lgica Actuacin Tiempo Integridad de la Seguridad Otras
Mantenimiento Prueba de Funcionamiento Condiciones ambientales
Integridad de la Seguridad
Es una propiedad de la funcin de seguridad completa. Cada valor corresponde a un rango seleccionado de
probabilidad de fallas de la funcin de seguridad. Es una medida cualitativa de la seguridad. Es una unidad mtrica cuantitativa de la confiabilidad. No hay regulaciones que asignen un valor SIL a un proceso particular. No es una medida del riesgo. La asignacin de SIL es una decisin que debe tomar la empresa. Cuanto ms alto el nivel SIL, ms estrictos son los requerimientos tcnicos y administrativos.
Definiciones Qu es disponibilidad? Es la fraccin de tiempo en la que un sistema es operacional y en un determinado instante de tiempo: A = MTTF / (MTTF + MTTR). No indica como es el desempeo del sistema durante ese perodo de tiempo, slo expresa la probabilidad de que estar operando en un determinado instante entre ciclos de reparacin.
Definiciones
Confiabilidad
Es la probabilidad de que un sistema, incluyendo todo el hardware, software y firmware, desempear satisfactoriamente la funcin para la que ha sido diseado, sin fallas, dentro de un ambiente especificado y durante un periodo de tiempo especificado. R (t) = exp ( - (1/MTTF)t) R (T) = exp (- t)
Definiciones
Confiabilidad es una funcin del tiempo operativo. Todas las funciones de confiabilidad comienzan con confiabilidad uno y decrecen hasta confiabilidad cero. El dispositivo debe cumplir su funcin durante el intervalo de tiempo completo. La expresin Confiabilidad = 0.76 para un tiempo de 100.000 hs tiene perfecto sentido.
Disponibilidad no es igual a confiabilidad Disponibilidad brinda informacin acerca de cmo Ud. utiliza
su tiempo.
Nivel de Integridad SIL Safety Integrity Level Probabilidad de Falla en Demanda Reduccin de Riesgo
0.0001 0.00001
10000 - 100000
3 2
0.1 0.01
10 - 100
Normal: no tiene fallas internas Seguro: el sistema de seguridad ha fallado de una manera tal que la
funcin de seguridad ha reaccionado tal como fue diseada an ante la ausencia de una demanda
Proceso o EBC
Estado Seguro
Parado
Estado Peligroso
Estado Intermedio
Permanente existe hasta que se repara Dinmica existe slo bajo determinadas circunstancias
Una Falla sistemtica es una falla oculta
Puede ser un error de diseo o implementacin. Puede ser una falla de hardware o de software. Tcnicas hardware o software Administrativas especificaciones de diseo, manuales de usuario, procedimientos
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Una Falla de Causa Comn es una falla resultado de uno o ms eventos que causan fallas de dos o ms canales separados en un sistema de mltiples canales, conduciendo a una falla de sistema.
Los eventos deben estar relacionados con eventos ambientales
Falla de Modo Comn es la falla de uno o ms canales de la misma manera, causando el mismo resultado errneo.
Falta
Error
Evolucin histrica
IEC 61508
Siempre que sea posible, se debe tener una separacin entre las funciones relacionadas con seguridad y las que no lo estn.
IEC 61508
Es una publicacin de IEC sobre seguridad Es una norma genrica de seguridad para ser utilizada cuando en
un sector especfico de la industria no haya normas de seguridad
IEC 61508
Rels elctricos y electro-mecnicos Sistemas electrnicos de estado slido Sistemas electrnicos programables, Controladores lgicos
programables, Sistemas basados en microprocesadores, Sistemas de control distribuido, Sistemas Abiertos de Control y otros dispositivos basados en microprocesadores, por ejemplo sensores / transmisores / actuadores inteligentes
IEC 61511
Se ha desarrollado especficamente para la implementacin de la IEC 61508 en el sector de Procesos. Alcance limitado a Usuarios y a Integradores de Sistemas. Usuarios e Integradores deben considerar a IEC 61508 como el requerimiento bsico para equipamiento
Al igual que en IEC 61508, se utiliza como marco para estructurar los requerimientos relativos a especificacin, diseo, integracin, operacin, mantenimiento, modificacin y desinstalacin de un Sistema de Seguridad. Cada fase tiene un conjunto definido de entradas y salidas y, hacia el fin de cada fase, una verificacin debe ser realizada para confirmar que las salidas obtenidas estn de acuerdo con los requerimientos
Ciclo de Vida
IEC 61511
Ofrecen recomendaciones sobre como mejorar la seguridad Proveen una gua de buenas prcticas de ingeniera Conforman un modelo de gestin de la seguridad Proveen un modelo de ciclo de vida de seguridad Recomiendan como gestionar la planificacin, documentacin y
evaluacin de la seguridad funcional de la planta
No absuelven a los usuarios de su responsabilidad por la seguridad de la planta, los trabajadores, las comunidades vecinas y el medio ambiente.
Application of Safety Instrumented Systems for the Process Industries El SIS debe estar separado del SBCP Los sensores del SIS deben estar separados de los sensores del SBCP. Las reas de separacin son bien claras: Procesador lgico Sensores de campo Elementos finales de control Comunicaciones con otros sistemas Primera edicin 1996 En su ltima edicin del ao 2004, adopta el esquema de la norma IEC 61511
Ing. Qco. Roberto E. Varela MARZO 26, 2007
AIChE CCPS
Normalmente, el procesador lgico del SIS est separado de su componente similar en el SBCP. Por lo tanto, los sensores y elementos finales de control del SIS estn, generalmente, separados de sus similares en el SBCP. Se debe tener una separacin fsica, funcional e identificacin entre los componentes del SBCP y el SIS incluyendo sensores, actuadores, procesadores, mdulos de E/S, chasis...
Leyes Locales
Ley 19587 Ley de Higiene y Seguridad en el Trabajo Decreto 351/79 Reglamentacin Ley 19587 Ley 24557 Riesgos de Trabajo Ley 13660 y Decreto 10877/60 Seguridad de Instalaciones de
Elaboracin, Transformacin y Almacenamiento de Combustibles Slidos Minerales, Lquidos y Gaseosos
Un sistema de seguridad es funcionalmente seguro si: Las fallas aleatorias, sistemticas y de causa comn no
conducen a un malfuncionamiento del sistema de seguridad y no resultan en:
Daos a la salud humana. Incapacidad o fatalidades de personas. Prdidas a la atmsfera de sustancias peligrosas. Prdidas materiales: edificios y equipos. Prdida de capital de trabajo.
Documentacin
Cada fase del ciclo de vida de seguridad La gestin de la seguridad funcional Las actividades de verificacin y validacin Las evaluaciones de seguridad funcional.
Documentacin
Fase
Todas las fases Anlisis de peligros y de riesgos Requerimientos generales de seguridad Planificacin general de la Validacin Planificacin general de la Instalacin y Operacin Realizacin Instalacin y Comisionado Validacin de la seguridad funcional Operacin y Mantenimiento Cambios y Modificaciones
Informacin
Plan de seguridad; Planes de verificacin y validacin Informes HAZOP, FMEA, FTA Especificacin con todas las funciones de seguridad y sus propiedades de seguridad funcional Plan Plan Diseo del sistema; diseo de hardware; diseo de software; diagramas, manuales, distribucin en planta Informes Informes Registros, informes de auditoria Solicitud de modificacin, informe de anlisis de impacto, aprobacin
Verificacin y Validacin
Verificacin: actividad para demostrar, al final de cada fase del ciclo de vida
de seguridad, por anlisis y/o pruebas, que ante entradas especficas las salidas cumplen en todos los aspectos los objetivos y requerimientos fijados para cada fase. Ejemplos:
Revisin de los documentos de salida de cada fase Revisin de diseos Pruebas a los productos diseados para asegurar que el desempeo es el
especificado
Verificacin
Procedimientos, medidas y tcnicas Cuando se llevan a cabo Personas, departamentos u organizaciones responsables, incluyendo
nivel de independencia
Identificacin de los puntos s verificar Identificacin de la informacin contra la que se lleva la verificacin Como manejar las no conformidades Herramientas de anlisis Documentacin a generar como resultado
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Validacin
Identificacin del software de seguridad que necesita ser validado Informacin de la estrategia tcnica de validacin
Tcnicas manuales y automticas Tcnicas estticas y dinmicas Tcnicas analticas y estadsticas
Ambiente en el que se desarrollar la validacin Criterio pasa/falla para la validacin del software:
Seales de entrada requeridas del proceso y del operador, con secuencias y
valores
Seales de salida anticipadas con secuencias y valores Otros criterios de aceptacin, por ejemplo: uso de memoria, tolerancias de tiempos
y valores.
Validacin - Documentacin
Versin del plan de validacin utilizado SIF bajo prueba Herramientas y equipos usados, con datos de calibracin Resultados de cada prueba Versin de la especificacin de prueba usada Criterio de aceptacin de las pruebas Versin del hardware y software bajo prueba Cualquier discrepancia entre los resultados obtenidos y los esperados En caso de ocurrir una discrepancia, anlisis realizado y decisiones tomadas respecto de continuar con las pruebas o solicitar un cambio
Es una investigacin, basada en evidencia, para juzgar la seguridad funcional alcanzada por uno, o ms, sistemas E/E/PE relacionados con seguridad, otros sistemas relacionados con seguridad que emplean otras tecnologas o facilidades externas para la reduccin del riesgo. Esta es una actividad crtica que asegura que la seguridad funcional se ha alcanzado satisfactoriamente. Las personas que ejecutan la evaluacin de la seguridad funcional deben ser competentes, deben tener la adecuada independencia y deben considerar las actividades que se llevan a cabo y los resultados obtenidos durante cada fase de cada ciclo de vida y juzgan si se han cumplido los objetivos y requerimientos de IEC 61508.
Nivel de Independencia
Nivel Mnimo de Independencia Persona Independiente Departamento Independiente Organizacin Independiente HR = Altamente recomendable
NR = No recomendado
Auditorias
Son similares a las Evaluaciones Se enfocan en la implementacin general del SIS respecto del ciclo de
vida, que permite evaluar la efectividad de la implementacin del SIS.
Es una evaluacin realizada en forma peridica Aplica a las fases del ciclo de vida ms extensas, tal como operacin,
mantenimiento y reparacin
Riesgos y Peligros
El riesgo no es un problema nuevo. Siempre ha existido. La industrializacin ha reemplazado los peligros basados en la
naturaleza por nuevos basados en la tecnologa.
Evaluaciones Necesarias
1- Cules son las fases peligrosas del Proceso? - Arranque - Parada - Parada de Emergencia - Cambio de turno 2- Cules son las peores consecuencias? - Muerte - Lesiones incapacitantes - Daos al Medio Ambiente - Daos a la propiedad - Prdidas Econmicas: produccin, lucro cesante, equipos
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Evaluaciones Necesarias
3- Fallas en el Sistema de Seguridad debern producir paradas de proceso? - Sensores simples o redundantes? - Rels o SEPs? - Solenoides o vlvulas? - Seguridad o disponibilidad?
4- El Sistema de Seguridad deber tener fallas no detectadas (encubiertas)? - Diagnsticos limitados -- Rels o SEPs - SEPs redundantes -- Fallas encubiertas
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Evaluaciones Necesarias
5- Con qu frecuencia deber verificarse el Sistema de Seguridad? - 1, 2 ms veces al ao? - En las paradas de mantenimiento? - Continuamente -- Auto-verificado?
6- Con qu frecuencia ocurrira un accidente sin un sistema de seguridad? - Muchas veces por ao? - Varias veces por ao? - Pocas veces por ao?
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Evaluaciones Necesarias
7- Se trabaja con materias primas peligrosas? 8- Se fabrican productos intermedios peligrosos? 9- El personal que est presente en planta, ya sea propio, contratado, proveedores o visitantes, est debidamente entrenado? 10- Est instalada una cultura en seguridad apoyada y promocionada por la gerencia?
El problema es lo que no se ve
Peligro - Definicin
Qu es Riesgo?
Riesgo Medida de potenciales prdidas econmicas, dao a las personas, o dao al ambiente en trminos de posibilidad de ocurrencia y de magnitud de las consecuencias (prdidas, perjuicios o daos)
Riesgo Intolerable
ALARP
Lleve la consecuencia y/o la frecuencia de potenciales incidentes a un nivel de riesgo tolerable
El concepto ALARP puede ser utilizado cuando se adoptan objetivos de riesgo cualitativos o cuantitativos
Riesgo Tolerable
Riesgo Aceptable
Estadsticas en Argentina
Tipo de evento Accidente de trabajo Accidente in itinere Enfermedad profesional Reingreso Total Trabajadores cubiertos Incidencia x 1.000 trabajadores
Los objetivos son mltiples y, en ocasiones, contradictorios Es necesario tomar en cuenta consideraciones humanitarias,
econmicas, de responsabilidad legal, de responsabilidad social y de imagen pblica
Mayor compromiso con el cuidado del ambiente Proteccin de los empleados y la propiedad Ms regulaciones gubernamentales y
requerimientos de la sociedad
Nuevas normas de seguridad Litigios legales iniciados por grupos de inters Imagen de la compaa
Reduccin de Riesgos
SBCP
PROCESO
RIESGO
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Reduccin de Riesgos
Reduccin de Riesgos
Consecuencias de eventos peligrosos Fuego Explosin Explosin de nube de vapor Formacin de atmsfera txica
Reduccin de Riesgos
Diferentes terminologas para situaciones peligrosas: Escenarios que determinan fenmenos peligrosos de tipo trmico
Incendio de charcos Dardos o Chorros de fuego Llamarada / Nube de fuego BLEVE Bola de fuego
103
F
Inaceptable
105
Lneas FN
102
103
Esto implica un anlisis previo Hay que desarrollar una estimacin del nivel de peligro potencial
de una actividad.
Los mtodos de evaluacin de riesgos se pueden dividir en: Cualitativos: Evaluacin realizada por un experto o panel de
expertos que juzgan la frecuencia y las consecuencias de los riesgos. Usualmente el resultado se presenta en formato matriz.
Determinacin de la severidad de un evento peligroso. El anlisis debe hacerse asumiendo que no est presente
ninguna capa de proteccin, incluyendo dispositivos de mitigacin pasivos o activos.
Analiza la probabilidad de ocurrencia de un evento peligroso. Hacer recomendaciones concernientes a los mtodos de
reduccin de riesgo necesarios.
Cambios en el diseo mecnico del proceso, incluyendo la distribucin de los equipos o de la planta. Integridad mecnica del equipamiento Reemplazo de sustancias utilizadas por el proceso Aplicacin de SBCP Procedimientos de Operacin, Mantenimiento y Entrenamiento Aplicacin de SIS Otros sistemas relacionados con seguridad que emplean otras tecnologas
Qu son? Usualmente se
presentan como las capas de una cebolla.
Cada capa es
independiente en trminos de operacin
Desempeo auditable.
IPLs proveen
Prevencin (activa baja probabilidad)
Anlisis de Peligros y Anlisis Causa - Consecuencia Operabilidad (HAZOP) Lista de Verificacin Confiabilidad Humana Anlisis rbol de Eventos Anlisis de Peligros Anlisis Modos de Falla & Efectos
(FMEA) Preliminares (PHA) (Hazid)
HAZOP
OPerability: Operabilidad
Anlisis de peligros y de operabilidad (HAZard and OPerability studies HAZOP)
Sistemas de Control
Caracterstica
Operacin Normal Utilizacin Operacin Humana Seales Entrada/Salida En Servicio/Fuera Servicio
DCS
Dinmico. Activo continuamente Continua Interaccin continua Principalmente analgicas Frecuente transf. auto-manual
Test de Fallas
Sistemas de Seguridad
Caracterstica
Operacin Normal Utilizacin Operacin Humana Seales Entrada/Salida En Servicio/Fuera Servicio
SIS
Pasivo, hasta una demanda Intermitente Interaccin infrecuente Principalmente discretas Nunca fuera de lnea
Test de Fallas
Se reducen las chances de un error humano. Hace que los SIS sean distintos, permitiendo la
implementacin de precauciones especiales consistentes con las demandas del SIS.
Asegura que no se realicen cambios no autorizados. Elimina las fallas de modo comn.
Esquema tradicional
Beneficios de la integracin
Mapeo de datos comn Incremento en la seguridad Herramientas de ingeniera similares Diferencia visual entre el SBCP y el SIS en la Estacin de Operacin Acceso protegido adecuadamente Reduccin significativa en los esfuerzos de integracin Reduccin en los costos de hardware, configuracin, entrenamiento e inventario de partes.
Votacin
Definiciones
Falla Peligrosa:
Falla que tiene el potencial de poner un sistema relacionado con seguridad en un estado peligroso o en un estado en el que falle en el cumplimiento de la funcin de diseo.
Falla Segura:
Falla que no tiene el potencial de poner un sistema relacionado con seguridad en un estado peligroso o en el que falle en el cumplimiento de la funcin de diseo.
Falla Peligrosa
Falla Segura
Fuente: ISA-TR84.00.02-2002 - Part 1 Ing. Qco. Roberto E. Varela MARZO 26, 2007
Deteccin de Fallas
Las fallas pueden ser detectadas de tres formas: A travs de la operacin normal A travs de pruebas peridicas de funcionamiento A travs de diagnsticos embebidos en los
subsistemas.
Se inicia por intervencin de personal autorizado No es una rutina embebida en los sistemas o subsistemas. Ejemplo, prueba parcial de funcionamiento de vlvulas
A travs de diagnsticos
Cobertura de diagnstico
DC =
detectadas
total
Definicin
Tasa de falla Segura + Tasa de Falla Peligrosa Detectada SFF = ------------------------------------------------------------------------------------Tasa de Falla Total
OREDA - Offshore Reliability Data Base DNV CCPS - Process Equipment Reliability Data SINTEF - Reliability Data for Control & Safety Systems IEEE STD - 500 1984 para Usinas Nucleares SRD - Safety and Reliability Directorate - UK NPRD - 95 Nonelectronic Parts Reliability Data FMD 97 Failure Mode Mechanism Distributions
SIS - Requerimientos
Defecto Cero
Boom!
Accin Parada Emergencia Nivel Seguridad Mecnica Nivel Disparo Controlado por SIS
Deben elaborar:
Plan de Seguridad Plan de Operacin y Mantenimiento Plan de Instalacin y Comisionado Plan de Validacin
Plan de Seguridad
Contenido tpico:
Ciclo de Vida con sus distintas fases Personas, departamentos y organizaciones involucradas
incluyendo sus responsabilidades
Herramientas, tcnicas, etc. que se utilizarn Medidas para controlar y evitar fallas Procedimientos para Modificaciones
Plan de Validacin
El primer objetivo de los requerimientos de esta subclusula es el desarrollo de un plan para la instalacin del sistema E/E/PE relacionado con seguridad de una manera controlada, para asegurar que la seguridad funcional requerida es alcanzada.
El segundo objetivo de los requerimientos de esta subclusula es el desarrollo de un plan para el comisionado del sistema E/E/PE relacionado con seguridad de una manera controlada, para asegurar que la seguridad funcional requerida es alcanzada.
SRS Qu es?
SRS Qu es?
La Especificacin de Requerimientos de Seguridad (SRS) es una documentacin requerida por las normas IEC 61511, IEC 61508 y ANSI/ISA S84.00.01-2004 Contiene tanto los requerimientos funcionales de seguridad como los requerimientos de integridad de la seguridad. La SRS sirve de fundacin para el diseo del sistema instrumentado de seguridad (SIS). Todos los pasos del ciclo de vida seguridad que se tomen deben ser siempre verificados con los datos de la SRS. La SRS tpicamente incluye lo siguiente:
SRS Qu incluye?
Identificacin de los eventos peligrosos asociados con la unidad de procesos en estudio Identificacin de las causas del evento peligrosos Determinacin de la frecuencia de ocurrencia de los eventos peligrosos Evaluacin de las consecuencias del evento, en trminos de impactos en la seguridad, el ambiente y econmico. Evaluacin de las capas de proteccin disponibles para mitigar los efectos del incidente Determinacin de las acciones de mitigacin Seleccin del nivel de integridad de seguridad para cada SIF y SIS requerido
Estado seguro del proceso Rango y lmites operativos de las entradas normales de
proceso
Entradas de proceso y puntos de disparo Salidas a proceso y acciones Relaciones funcionales. Modos de Falla Requerimientos para parada manual y reset Requerimientos de Mantenimiento / Bypass Requerimientos de tiempo de respuesta Requerimientos de interfaz Humano - Mquina
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Consideraciones de fallas de causa comn Requerimientos para la puesta en marcha MTBF del equipamiento utilizado para el clculo de
confiabilidad
Recursos
Equipo de profesionales y tcnicos con experiencia en Ingeniera de Detalle, Equipos de Proceso y/o Operacin de Planta Modelado del Proceso Informacin de otros procesos similares Polticas y procedimientos corporativos para evaluacin de riesgos Normas y Recomendaciones de Diseo corporativas
Cuando se disean nuevos sistemas o nuevas plantas Cuando se modifican plantas, equipos o sistemas
existentes
Evolucin
Tecnologas Disponibles
Inmunidad a la interferencia
Electromagntica.
No son necesariamente seguros ante falla porque: - el contacto del rel puede quedar pegado en una posicin cerrado por suciedad o por induccin. - se puede quebrar el resorte - los contactos se pueden quemar - los brazos del contacto se pueden quebrar - ocupan demasiado espacio en los gabinetes (si se agregan temporizadores mayor an es el espacio requerido)
Requieren de un ambiente controlado para mantener la integridad de los contactos, a menos que se utilicen rels hermticamente sellados.
MARZO 26, 2007
Sistemas complejos, difciles de diagnosticar y mantener. Documentacin puede ser compleja de leer y de modificar. Redundancia difcil de implementar. Slo pueden implementarse entradas y salidas digitales. No hay comunicacin. No hay diagnsticos para detectar fallas internas. Las modificaciones son difciles de implementar. Al estar energizados en forma continua se reduce el MTBF.
No son flexibles si es necesario introducir cambios. Tienen la posibilidad de implementar diagnsticos limitados a
travs de LEDs.
Facilidad para la bsqueda de falla y test. No son flexibles si es necesario introducir cambios. No requieren programacin
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Texas Instruments inventa el circuito integrado (CI) en 1958 El CI abre el camino para el desarrollo de Microcomputadores
Programables y Microprocesadores que constituyen la unidad central de procesamiento.
Las funciones lgicas y secuenciales se ejecutan en la CPU Ampliamente aceptados en la industria automotriz
Son aceptable para aplicaciones energizar para disparar (ETT) Disponibilidad de entradas y salidas digitales y analgicas. Los puntos de disparo son fciles de ajustar Mejores diagnsticos que en los sistemas de estado slido Comunicaciones con protocolos estandarizados Diagnsticos limitados.
PLC - Desventajas
En caso de falla: cul es el procesador correcto, A o B? Si se produce una comparacin errnea, el sistema debe estar
programado para parar.
Los cambios a los programas en operacin son muy riesgosos. Las reparaciones en operacin son muy riesgosas.
Input/Output Module
Input Circuit Diagnostic Circuit
CPU Module
CPU
Input/Output Module
Output Circuit Diagnostic Circuit
Diagnostic Circuit
Input/Output Module
Input Circuit
CPU Module
CPU
Input/Output Module
Output Circuit Diagnostic Circuit
Diagnostic Circuit
Diagnostic Circuit
Final Element
Sensor
A A
0.02 0.0004
B B
2oo2
B B
0.0016
0.04
Peligrosa
B B
C C
2oo3
0.0048
0.0012
No hay una respuesta simple para esta pregunta. Algunas compaas dicen Un sistema de seguridad es un sistema
de seguridad por lo que el SIL debe ser SIL 3.
Asignacin de SIL
Consecuencias de eventos peligrosos Riesgo del proceso Frecuencia de eventos peligrosos Reduccin de riesgo necesaria Capas de proteccin no SIS Otras capas de proteccin Riesgo tolerable objetivo
SIS
La integridad de seguridad de capas de proteccin para prevencin / mitigacin no SIS y de SIS proveen la reduccin de riesgo necesarias
Semicuantitativo HazOp + Arbol de Falla Cualitativo - Matrices de Riesgo Semicualitativo - Grficos de Riesgo calibrado Cualitativo - Grfico de Riesgo Cuantitativo - LOPA
Severidad del Evento Probabilidad de ocurrencia del Evento Capas mltiples de proteccin
Impacto
Daos al equipamiento severos. Parada del proceso por largo tiempo. Consecuencias catastrficas para el personal y el ambiente Daos al equipamiento. Parada del proceso por corto tiempo. Daos severos al personal y al ambiente Daos menores al equipamiento. No hay parada del proceso. Daos leves al personal y al ambiente
Seria
Menor
Tipo de Evento Eventos tales como mltiples fallas de diversos instrumentos y vlvulas, mltiples errores humanos en un ambiente libre de estrs, o fallas espontneas de recipientes de proceso Eventos tales como fallas en vlvulas y en instrumentos, o escape mayor en reas de carga / descarga Eventos tales como prdidas en procesos, fallas en vlvulas e instrumentos, o errores humanos que resulten en una pequea fuga de materiales peligrosos
Probabilidad Baja
Media
Alta
IEC 61511 describe el mtodo Grfico de Riesgo Calibrado es un mtodo semicualitativo para la determinacin del SIL de una Funcin Instrumentada de Seguridad a partir del conocimiento de los factores de riesgo asociados con el Proceso, el Equipo Bajo Control y el Sistema de Control asociado a ste.
W
C
A
a 1 2
--a 1 2 3 4
----a 1 2 3
P F F
B
PB P
F F
PB
A
PA P
B
3 4
Generalized arrangement (in practical implementations the arrangement is specific to the applications to be covered by the risk graph)
F F
P P
C = Consequence risk parameter F = Frequency and exposure time risk parameter P = Possibility of failing to avoid hazard risk parameter W = Probability of the unwanted occurrence
--- = No safety requirements a b = No special safety requirements = A single E/E/PES is not sufficient
IEC 61511 describe el mtodo Grfico de Riesgo. Es un mtodo cualitativo para la determinacin del SIL de una Funcin Instrumentada de Seguridad a partir del conocimiento de los factores de riesgo asociados con el Proceso y el Sistema de Control de procesos. Este mtodo se basa en el mtodo utilizado en la norma DIN V 19520, 1994 Control Technology: Fundamental safety aspects to be considered for measurement and control equipment
W2 1 2 3 4 5 6 7
W1 1 2 3 4 5 6
P1 P2 P1 P2
1 2 3
C2 F2 F1 F2 C4
4 5 6 7 8
C3
C= Consecuencia F= Frecuencia y Tiempo Exposicin P= Posibilidad Evitar Evento Peligroso W= Probabilidad Ocurrencia No Deseada
(1,2,3,4,5,6,7 y 8) representan la reduccin de riesgo mnima. El vnculo entre la reduccin de riesgo mnima y el SIL se muestran en la siguiente tabla
MUY ALTO
PELIGRO
PROBABILIDAD
RIESGO
ACEPTABLE
PROBABILIDAD
RIESGO
LOPA - Implementacin
1. 2. 3. 4.
Estimacin de las consecuencias y de la severidad Desarrollo del escenario Identificacin de la frecuencia del evento iniciador Identificar las capas independientes de proteccin relacionada
Prevencin
Prevencin
Prevencin
Falla PFD3 = y3 f3 = x * y1 * y2 * y3
Falla PFD1 = y1 f1 = x * y1
Falla PFD2 = y2 f2 = x * y1 * y2
xito xito
La Flecha representa severidad y frecuencia del Impacto del Evento si la ltima IPL no es exitosa.
frecuencia
LOPA - Ejemplo
Frecuencia Aceptable del Riesgo Frecuencia del Evento Iniciador PFD IPL1 Diseo del Proceso
10 * E - 7 10 * E - 1 10 * E - 2
PFD IPL2 Sistema de Control de Procesos SBCP 10 * E - 1 10 * E - 1 PFD IPL3 Alarmas + Operador SIL (1 3) Requerido por la SIF 10 * E - ?
SIL = 10 * E - 2
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Informacin requerida por LOPA Impacto del Evento Nivel de Severidad Causa Iniciadora Probabilidad Iniciadora Capas de Proteccin Mitigacin adicional requerida
Informacin suministrada por Hazop Consecuencia Severidad de la Consecuencia Causa Frecuencia de la Causa Salvaguardas existentes Salvaguardas nuevas recomendadas
LOPA - Caractersticas
A Favor
Altamente auditable, se asigna un valor a cada etapa Claridad, es relativamente fcil ver como se han obtenido los
resultados
En Contra
Fijar el Criterio de Tolerancia al Riesgo puede ser dificultoso Se requieren gran cantidad de datos de entrada Decidir una real independencia es problemtico
Mtodos de Anlisis de Riesgo existentes en la Empresa Complejidad del Proceso Comprender el Proceso (experiencia y conocimiento) Consistencia en la designacin de los miembros del Equipo
de Diseo
Diseo de Hardware
Cul es la diferencia?
Desenergizar para disparar, el sistema, o subsistema, no requiere
de energa para desempear su funcin de seguridad.
Apertura del rel de un presostato para que se pare una bomba. Energizar para disparar, el sistema, o subsistema, requiere de la
presencia de energa para desempear su funcin de seguridad.
Redundancia
+
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Diversidad
+
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Operacin en modo de baja demanda (Probabilidad promedio de falla para desempear su funcin de diseo ante una demanda) 10-5 to < 10-4 10-4 to < 10-3 10-3 to < 10-2 10-2 to < 10-1
4 3 2 1
Fuente: IEC 61508-1 Ing. Qco. Roberto E. Varela MARZO 26, 2007
funciones de seguridad, asignadas a un sistema E/E/PE relacionado con seguridad operando en modo de operacin de alta demanda o continuo. IEC 61508
Modo de operacin de alta demanda o continuo (Probabilidad de falla peligrosa por hora) 10-9 to < 10-8 10-8 to < 10-7 10-7 to < 10-6 10-6 to < 10-5
Fuente: IEC 61508-1 Ing. Qco. Roberto E. Varela MARZO 26, 2007
4 3 2 1
Contribucin al SIL
Sensor 30 %
No es posible ordenar solamente un SEP SIL 3 y creer que ya se est cumpliendo con los requerimientos de la Norma IEC 61508 IEC 61511
Ing. Qco. Roberto E. Varela MARZO 26, 2007
La Redundancia facilita la ejecucin de las fases Redundancia significa necesariamente replicar n veces los
componentes
Entrada
Salida
Un subsistema es clasificado Tipo A si: Los modos de falla estn bien definidos. El comportamiento de la falla puede ser determinado
completamente.
Un subsistema es clasificado Tipo B si: Uno o ms modos de falla no estn bien definidos. El comportamiento de la falla no puede ser determinado
completamente.
No estn disponibles suficientes datos de falla. Si el componente incluye circuitos integrados, se puede
asegurar 99.9% que es un subsistema tipo B.
PFD, qu es? Es una medida de la integridad de la seguridad de una SIF. Es un valor que indica la probabilidad de que un sistema falle
en respuesta a una demanda, es incapaz de desempear la funcin de seguridad. La probabilidad promedio de un sistema que falla en respuesta a una demanda en un intervalo de tiempo especificado, se la denomina PFDavg.
PFD = f (failure rate, repair rate, test interval, common cause, etc.)
Determinacin de PFD
Anlisis Causa - Consecuencia Anlisis rbol de Fallas Diagramas en bloque de confiabilidad Ecuaciones simplificadas Modelos de Markov
Los casos en que mejor se aplica son: Amenazas percibidas de grandes prdidas, alto riesgo. Numerosos contribuyentes potenciales a un percance. Sistemas o procesos con mltiples elementos o
complejos.
1. Descripcin de la SIF e Informacin de aplicacin. 2. Identificacin del evento tope. 3. Construccin del diagrama FTA. 4. Examen cualitativo de la estructura del rbol de fallas. 5. Evaluacin cuantitativa del rbol de fallas.
Identificacin de los recursos comprometidos para prevenir la falla. Gua para el redespliegue de los recursos para optimizar el control
de riesgos.
Modelos de Markov
Modelos de Markov
Modelos de Markov
Ecuaciones Simplificadas
Ecuaciones Simplificadas
Procedimiento para la determinacin del PFDavg de los sensores:
1. Identificar cada uno de los sensores que detectan las condiciones fuera de lmite y
que podran conducir al evento contra el cual protege la SIF. Slo aquellos sensores que previenen o mitigan el evento designado son incluidos en los clculos de PFD.
2. Liste la MTTFDU para cada sensor. 3. Calcule el PFD para cada configuracin de sensor utilizando el MTTFDU y las
ecuaciones en IEC 61508 Parte 6 con las consideraciones de redundancia que correspondan.
4. Sume los valores de PFD de los sensores para obtener el componente PFDS de la
SIF que est siendo evaluada. Este paso slo se requiere si la SIF incluye entradas de mltiples sensores.
Ecuaciones Simplificadas
Procedimiento para la determinacin del PFDavg para los elementos finales:
1. Identificar cada elemento final que protege contra las condiciones fuera de
lmites que pueden conducir al evento peligroso contra el cual nos protege la SIF. Slo aquellos elementos finales que previenen o mitigan el evento designado son incluidos en los clculos de PFD.
2. Liste la MTTFDU para cada elemento final. 3. Calcule el PFD para cada configuracin de elemento final utilizando el MTTFDU
y las ecuaciones en IEC 61508 Parte 6 con las consideraciones de redundancia que correspondan.
4. Sume los valores de PFD de los elementos finales para obtener el componente
PFDA de la SIF que est siendo evaluada. Este paso slo se requiere si la SIF incluye mltiples elementos finales.
Ecuaciones Simplificadas
Procedimiento para la determinacin del PFDavg para el procesador lgico es: Nota. Puede ser provisto un slo procesador lgico para mltiples SIF.
1. Identificar el tipo de hardware del Procesador lgico utilizado. 2. Seleccionar el MTTFDU para el procesador lgico (tpicamente se obtiene del
fabricante del procesador lgico).
Nota. Puesto que el PFDavg del procesador lgico es una funcin no lineal, el
usuario debera solicitar el MTTFDU para un nmero de intervalos de prueba funcional y utilizar aquellos que se ajusten a los requerimientos del sistema.
Ecuaciones Simplificadas
1. Liste el MTTFDU para cada fuente de alimentacin del SIS. Calcule el PFDavg para la fuente de alimentacin utilizando las frmulas de
IEC 61508 Parte 6 con las consideraciones de redundancia apropiadas.
Ecuaciones Simplificadas
Las ecuaciones simplificadas sin los trminos que incluyen mltiples fallas
durante la reparacin, fallas de causa comn y errores sistemticos son las siguientes:
Tasa de Falla Total Porcentaje de fallas seguras Cobertura de diagnstico fallas peligrosas Cobertura de diagnstico fallas seguras Tiempo de reparacin Intervalo de prueba de funcionamiento.
Comparator Majority voter Self-test by software: limited number of patterns (one channel) Self-test by software: walking bit (one-channel) Self-test supported by hardware (one-channel) Coded processing (one-channel) Reciprocal comparison by software
depends on the quality of the comparison depends on the quality of the voting
B.4.9 C.3.3
Functional testing Project management Documentation Black-box testing Field experience Statistical testing
Diseo de Software
Alcance de
E/E/PES SRS E/E/PES Arquitectura
Parte 2
Alcance de Parte 3
Hardware No-programable
E/E/PES Integracin
Prueba de Software
Las diferentes cuestiones que deben responderse son, al menos: La especificacin es correcta? El programa desarrollado es correcto? Las pruebas realizadas son correctas? La prueba del software se realiza para tener un software seguro, es decir
un software que permita al sistema de seguridad ejecutar las funciones de seguridad an bajo condiciones de falla.
Prueba de Software
Utilizando un ciclo de vida para el desarrollo. Con una seleccin apropiada de medidas para evitar fallas. Por
ejemplo, seguir las recomendaciones de las tablas A y B de la IEC 61508 Parte 3.
Modelo V
E/E/PES E/E/PES Especificacin Especificacin Requerimientos Requerimientos deSeguridad Seguridad de Software Software Especificacin Especificacin Requerimientos Requerimientos deSeguridad Seguridad de Validacin
Software Validado
E/E/PES Arquitectura
Software Arquitectura
Test de Integracin del Software de Aplicacin Test Software Aplicacin Prueba Mdulo
Software Desarrollo. Desarrollo Mdulo Aplicacin Entrega Entrega Verificacin Verificacin Desarrollo y Prueba Cdigo
Modelo V
Se requiere que haya realimentacin entre las fases. El diseo y las pruebas estn asociadas a travs de las
actividades de verificacin.
ARQUITECTURA de SIS
Arquitectura de SIS
SIS-LS con CPU doble y mdulos de E/S dobles SIS-LS con CPU triple y mdulos de E/S dobles o triples. SIS-LS TMR
Arquitecturas
SIS-LS con CPU doble y mdulos E/S simples SIS-LS con CPU doble y mdulos E/S simples con
diagnstico
Operacin y Mantenimiento
Programa de Testeo
Debe incluir los siguientes objetivos
1. Procedimientos escritos para asegurar que los tests se realizan en forma segura y no generan un aparada inadvertida 2. La frecuencia estar determinada para asegurar la confiabilidad del sistema de seguridad. Tests muy frecuentes generan costos innecesarios, pocos tests pueden resultar en un incidente peligroso 3. Las aplicaciones que requieran test en lnea tendrn el diseo apropiado incluyendo by-pass, para asegurar el punto 1 4. Tests fuera de lnea son fciles de manejar pero tienen los mismos requerimientos de documentacin y frecuencia que los que se realizan en lnea 5. Todo el programa de testeo debe ser revisado anualmente para determinar si la frecuencia es adecuada y/o se necesita realizar modificaciones
Instalacin y Comisionado
Validacin
Validacin
Requerida para:
Modificaciones de procedimientos operativos Modificaciones al proceso Modificaciones al software MOC debe contener Bases tcnicas para los cambios propuestos Impacto sobre la salud y el ambiente Procedimientos para la Autorizacin Revisin de los cambios requeridos Personal afectado debe ser notificado Los cambios deben realizarse a partir de la fase del ciclo de vida apropiada
Estudio Anlisis de Impacto Informe Anlisis de Impacto A Fase apropiada del Ciclo de Vida
HAZOP
Autorizacin
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Desinstalacin
Certificacin
Certificacin
Certificacin
Especificacin sin cambios; 10 sistemas operando en diferentes aplicaciones; 10*E5 horas de operacin y por lo menos un ao de historia de servicio.
La designacin exacta del sistema y sus componentes, incluyendo Versin de control del hardware; Usuarios y tiempo de aplicacin; Horas de operacin; Los procedimientos para la seleccin de los sistemas y aplicaciones en los que se
llevan a cabo las pruebas;
Los certificados de terceros no son garanta de que los productos pueden ser
utilizados en todas las aplicaciones de seguridad. En el reporte del Certificador o en el manual de Seguridad del fabricante deben estar listadas las restricciones de uso.
Procedimientos para el desarrollo del diseo han sido escritos y son seguidos. Los requerimientos tcnicos de la norma estn implementados en el subsistema. El subsistema tiene definida una probabilidad de falla ante una demanda mxima
(PFDAVG) para la funcin de seguridad.
Certificacin
http://www.tuv-fs.com/index.htm http://www.tuvasi.com
1. Adopte IEC 61511 2. Anlisis de Peligros y Evaluacin de Riesgos en Proceso para decidir cul es el mejor mtodo para proteger su planta 3. Adicione capas de proteccin no-SIS en lo posible 4. En base a la Evaluacin de riesgos seleccione el SIS certificado, por un ente confiable, que mejor cumpla sus necesidades 5. Elija el SIS que mejor se integre con sus sistema de control, pero manteniendo el grado de separacin requerido por las normas. 6. Elija el sistema que provea una solucin de seguridad integrada desde el sensor hasta la vlvula de control. 7. Monitoreo continuo del equipamiento de campo y tests peridicos
Ing. Qco. Roberto E. Varela MARZO 26, 2007
8.
Seleccione un sistema que maximice la seguridad a la vez que maximice, simultneamente, la disponibilidad, a travs de tests automticos y diagnsticos extensos. Disee seguridad dentro del proceso
9.
10. Asegrese que el diseo conceptual cumple con los requerimientos de desempeo 11. Documente todos los procedimientos 12. Solicite a su proveedor el Manual de Seguridad que incluye las restricciones de uso 13. Siga los procedimientos para la Administracin de Cambios
Bibliografa
Bibliografa
IEC 61508 Parts 1 to 7 - (1999-05) Functional safety of electrical/electronic/programmable electronic safetyrelated systems.
IEC 61511 Parts 1 to 3 - Edition 1.0 (2003 12) Functional Safety Safety Instrumented Systems for the
process industry sector
Safety Instrumented Systems: Design, Analysis, and Justification - ISA publication, 2nd Edition, 2004
Paul Gruhn, P.E., CFSE and Harry L. Cheddie, P.Eng., CFSE
Anlisis y reduccin de riesgos en la industria qumica - J. M. Santamara y P.A. Braa. Ediciones Fundacin
MAPFRE, Espaa, 1994
Are your instrumented safety systems up to standard? - Kimberly A. Ford and Angela E. Summers, Ph.D, SisTech Solutions.
Dual vs. Triple - Paul Gruhn, Siemens Energy & Automation, May 2000 Separation control and safety - William M. Goble, Vol. 79 No. 8 Automation Safety, August 2000 Fail safe or fault tolerant? - Russell Cockman, September 2000 2oo4D: Nueva generacin de sistemas de seguridad Honeywell S.A.I.C., Revista Instrumentacin y Control
Automtico, Nmero 109, Buenos Aires, Argentina.
Sistemas Instrumentados de Seguridad Evolucin, diseo y aplicacin Ing. Qco. Roberto E. Varela
Editoral Soluciones en Control . Buenos Aires 2003
It should not be necessary for each generation to rediscover principles of process safety which the generation before discovered. We must learn from the experience of others rather than learn the hard way. We must pass on to the next generation a record of what we have learned. Jesse C. Ducommun - Safety Pioneer
Amoco Oil Vice-president of Manufacturing 1955