Apunte

Introduccin a la Seguridad Funcional
Ing. Qco. Roberto E. Varela
Propiedad de la Informacin
El material de este curso es de propiedad del instructor y por ninguna circunstancia este
material, o parte del mismo, podr ser reproducido o transmitido en ningn formato, o medio, ya sea mecnico o electrnico. Esto incluye fotocopiado, microfilmado, registro o almacenamiento en computadoras sin el consentimiento previo y por escrito del instructor.
Por informacin adicional dirigirse a:

Ing. Roberto E. Varela Av. Belgrano 1828 - 4 D C1094AAN Ciudad de Buenos Aires Tel.: +54 11 4383 3223 E-mail: RobertoEduardo.Varela@telmexnet.com
MARZO 26, 2007
Notas
La informacin contenida en el curso consiste en conceptos fundamentales de

Seguridad Funcional y de Sistemas Instrumentados de Seguridad (SIS). Esta informacin no est diseada sobre, ni describe, la operacin de una instalacin especfica. Cualquier similitud con la operacin de un proceso existente es solamente una mera coincidencia.
El instructor no asume ninguna responsabilidad por el material del curso mas all del
propsito definido de entrenar a los asistentes en los fundamentos bsicos de Seguridad Funcional.
El material provisto no ser utilizado, ya sea en forma parcial o total, para otros cursos
de entrenamiento que aquellos dictados por el instructor.
Las marcas y productos mencionados en las filminas son propiedad de los fabricantes.
MARZO 26, 2007
Temas de Anlisis
MARZO 26, 2007
Temas de anlisis
Accidentes industriales emblemticos Lecciones aprendidas Qu es Seguridad? Qu es Seguridad Funcional? Gestin de la Seguridad Funcional Si en la planta no ha ocurrido un incidente en los ltimos 15 aos
que haya puesto en riesgo la seguridad, es una planta segura?
Qu es un Sistema Instrumentado de Seguridad SIS? Se dispone de normas, cdigos y prcticas recomendadas para
el diseo de SIS?
MARZO 26, 2007
Temas de anlisis
Cuales son los riesgos dentro de la planta? Identificacin de Peligros y Anlisis de Riesgo Tcnicas y mtodos para el Anlisis y Evaluacin de Riesgos Qu es un nivel de riesgo aceptable? Tecnologas disponibles para el diseo de SIS: rels mecnicos,
rels estado slido, sistemas de estado slido, SEPs...
Se pueden desempear las funciones de seguridad de un SIS

en un SBCP (DCS)?
Cmo afectan las normas vigentes el diseo, instalacin y

mantenimiento de mi sistema de seguridad?
MARZO 26, 2007
Temas de anlisis
Cmo se evala un SIS? Cmo afectan la disponibilidad y la seguridad de mi SIS los

equipos de campo, los sistemas de votacin, los diagnsticos y los intervalos de prueba de funcionamiento?
De donde se obtienen los datos de fallas? Intervencin humana o SIS automtico? Arquitectura de SIS Tolerancia a falla. Votacin Cobertura de diagnstico Verificacin y Validacin Instalacin, Operacin y Mantenimiento
Ing. Qco. Roberto E. Varela MARZO 26, 2007
Introduccin a la Seguridad Funcional
MARZO 26, 2007
Sumario de Accidentes Relevantes
Incidente
Nypro
Flixborough, GB
Fecha
06/1974 11/1984 12/1984 05/1988 10/1989 07/1990
Vctimas Fatales
84 500 2500 7 23 17
Heridos
36 4500 200.000+ 40 130+ ----
Prdidas, M$
100 50 1000 500+ 750 35
PEMEX
Mexico City, MX
Union Carbide
Bhopal, India
Shell
Norco, LA
Phillips
Pasadena, TX
ARCO
Channelview, TX
MARZO 26, 2007
Incidente
NNPC
Nigeria
Fecha
1988 09/2001 08/2003 01/2004 03/2005 07/2005
Vctimas Fatales
650 31 9 23 15 22
Heridos
1000+ 2500 40 74 170 200
Prdidas, M$
AZF
Toulouse, Francia
Repsol YPF
Puertollano, Espaa
Sonatrach
Skikda, Argelia
Refinera BP
Texas, USA
ONGC
Mumbail, India
MARZO 26, 2007
Por qu ocurren?
MARZO 26, 2007
Conceptos generales
Grandes cambios en la industria en los ltimos 60 aos

Avances tecnolgicos Nuevos materiales, procesos e industrias Aumento en el tamao de las plantas Optimizacin de los procesos Mayor nmero de personas expuestas a riesgos
Accidentes Industriales Mayores

Eventos que implican graves riesgos o catstrofes, inmediatos o
diferidos, a personas, comunidades, medio ambiente o a la produccin
MARZO 26, 2007
Accidentes - Causas ms comunes
Defectos tcnicos Errores en la operacin Factor humano reaccin ante peligros Pobres prcticas de mantenimiento Seales de alarma no jerarquizadas Falta de entrenamiento adecuado Problemas de comunicacin Malfuncionamiento de equipos crticos Administracin de los permisos de trabajo Fallas de materiales Condiciones extremas de trabajo
MARZO 26, 2007
Conceptos generales
Ocasionalmente, los accidentes mayores ocurren durante el

procesamiento o el almacenaje de los materiales o sustancias. Este tipo de accidentes plantean peligros para la salud y la seguridad de los trabajadores, el pblico y el ambiente. Adems, pueden originar una responsabilidad econmica para las empresas y la comunidad. El costo real total y las causas raz de este tipo de accidentes, a veces, no llegan a conocerse con exactitud.
Nuevas industrias han comenzado a operar utilizando nuevos

procesos, utilizando sofisticados sistemas de control y seguridad, pero creando al mismo tiempo nuevos tipos de peligros. Si no se toman las debidas precauciones en el momento apropiado, esos peligros pueden ser el inicio de desastres mayores resultantes en un gran nmero de fatalidades y daos extensos a personas, la propiedad y al ambiente.
Accidentes - Causas
Los accidentes pueden ser causados, generalmente, por fallos o errores humanos, fallas tcnicas o fuerzas externas. Estas son el resultado, en general de mltiples causas, principalmente fallas humanas, que no son debidas slo a los operadores o trabajadores inmediatamente afectados, sino tambin al personal de mantenimiento, supervisores, diseadores de plantas y diseadores y proveedores de equipos. Las fallas tcnicas tienen, en general, su origen en errores humanos tales como un pobre diseo, mantenimiento o uso inapropiado. Por lo tanto, debe prestarse atencin a prevenir, disminuir y/o eliminar los errores y fallos humanos en todos los niveles.
MARZO 26, 2007
Accidentes - Fallas debidas a causas comunes
Generalmente, un evento o condicin puede llevar a un cierto nmero de fallas

o faltas, llamadas fallas con causa comn. Un operador no entrenado adecuadamente es muy posible que tome decisiones errneas. Si una empresa no tiene un programa de capacitacin y entrenamiento apropiado puede deberse a que la Gerencia no considera a la seguridad como su prioridad nmero 1. Esta falencia es, en general, extensiva a cuestiones como mantenimiento y seguridad de la instalacin.
La ms peligrosas de las fallas con causa comn son de naturaleza

organizacional: insuficiente o falta de compromiso con la seguridad, falta de comunicacin entre los departamentos, capacitacin e informacin inadecuada a los trabajadores. La falla con causa comn ms importante suele encontrarse en la estructura gerencial, que puede conducir a un mayor dao. La gerencia de la empresa debe estar totalmente comprometida con la seguridad de la planta y ese compromiso debe ser dado a conocer a todos los empleados, de todos los niveles.
Accidentes - Consecuencias
Consecuencias inmediatas
Pueden ser fatalidades, daos fsicos al personal, daos a las instalaciones de proceso y edificios, contaminacin o daos al ambiente. Los ms afectados, en primer trmino son los trabajadores y las instalaciones pero, segn sea la magnitud del accidente, este puede afectar seriamente a las comunidades cercanas y al medio ambiente.
Consecuencias de largo plazo

Los efectos pueden llegar a involucrar tres niveles: la empresa, las comunidades cercanas y el ambiente.
MARZO 26, 2007
Accidentes Consecuencias a largo plazo La empresa puede verse afectada seriamente por la reaccin adversa del pblico, publicidad adversa en los medios, costos de reparacin o reemplazo, prdidas de produccin, lucro cesante, demandas judiciales por los distintos afectados. Las personas que habitan las comunidades cercanas pueden verse afectadas fsica y psicolgicamente. Las consecuencias a la salud por exposicin a sustancias qumicas pueden ser inmediatas, o pueden manifestarse en el largo plazo. Adems, pueden ocurrir daos a la propiedad que debern ser resarcidos por la empresa. Adems, en forma subsidiaria, hay que considerar las probables prdidas de valor de las propiedades por la percepcin de vivir en un rea insegura. El ambiente puede verse seriamente perjudicado por la emisin de sustancias peligrosas que pueden afectar la tierra, los animales, los cursos de agua y/o la vegetacin.
MARZO 26, 2007
Porqu fallan los Sistemas de Control o de Seguridad?
Fuente: HSE UK - 1987

MARZO 26, 2007
Accidentes Mayores - Lecciones
Percepcin del riesgo Desarrollo de respuestas ante la emergencia Protocolos de almacenamiento Evaluacin del potencial de escalado Inspecciones y mantenimiento de rutina de equipos crticos Sistemas de Control confiables y adecuados Ubicacin en planta de los edificios principales Informacin al pblico Comprensin de la importancia de la evaluacin de riesgos
MARZO 26, 2007
MARZO 26, 2007
Respuesta Gubernamental y Privada
MARZO 26, 2007
Medidas Gubernamentales
SEVESO I CE 1985 SEVESO II CE 1999 SEVESO III CE 2003 OSHA - 1910.119 Process Safety Management Of Highly
Hazardous Chemicals USA 1992
OSHA - Process Safety Management - USA OSHA - Management Of Change - USA EPA Risk Management Program USA 1990 HSE Health & Safety Executive GB 1987
MARZO 26, 2007
Normas y Prcticas Recomendadas
IEC 61508 Functional Safety of E/E/PE safety-related systems IEC 61511 Functional Safety: Safety Instrumented Systems for
the Process Industry
ANSI/ISA 84.01 Application of Safety Instrumented Systems for

the Process Industries
Health and Safety Executive (HSE) PES Guidelines DIN/VDE 0801 General Safety Principles for Vendors Derogada DIN V 19250 "Fundamental Safety aspects for Measurements and
Control Equipment"
AIChE CCPS Guidelines for Safe Automation of Chemical

Processes
Conceptos bsicos de seguridad
MARZO 26, 2007
Industrias de Procesos
Principales preocupaciones Seguridad Disponibilidad
MARZO 26, 2007
Seguridad - Definicin
Es el estado en el que hay certeza de que no existe la posibilidad de peligro o dao
Significa estar libre de riesgos inaceptables que puedan provocar daos fsicos o a la salud de las personas, ya sea en forma directa, o indirecta, como resultado de daos a la propiedad o al ambiente
MARZO 26, 2007
Seguridad Funcional
Es la parte de la seguridad general, relacionada con el EBC y del sistema de control del EBC, que depende del correcto funcionamiento de los sistemas E/E/EP relacionados con seguridad en respuesta a sus entradas. La seguridad funcional se alcanza cuando cada funcin de seguridad especificada cumple con su cometido y el nivel de desempeo requerido de cada funcin de seguridad es cumplido satisfactoriamente. Ni la seguridad y/o la seguridad funcional, pueden determinarse sin considerar al sistema como un todo y al ambiente en el que debe interactuar.
MARZO 26, 2007
Niveles Independientes de Proteccin
Respuesta de la Comunidad a las Emergencias Respuesta de Planta a las Emergencias Proteccin Fsica Pasiva (Diques o Barreras de Contencin) Proteccin Fsica Activa (Vlvulas de Alivio, Discos de Ruptura) Sistema Instrumentado de Seguridad Alarmas Criticas, Intervencin del Operador Sistema Bsico de Control de Procesos Diseo del Proceso
MARZO 26, 2007
Qu es un Sistema Instrumentado de Seguridad?
Es un sistema diseado para responder a condiciones en la

planta que pueden ser peligrosas por s mismas o, si no se toma ninguna accin, pueden, eventualmente, alcanzar un cierto grado de peligrosidad. Adems genera las salidas correctas para mitigar consecuencias peligrosas o para prevenir el peligro.
Fuente: Health and Safety Executive (HSE), 1987.
MARZO 26, 2007
SIS - Ejemplos
Sistemas de parada de emergencia Sistemas de fuego y gas Control de turbinas Supervisin y control de quemadores Enclavamientos de seguridad y parada de emergencia en
mquinas
Sistemas de sealamiento de ferrocarriles
MARZO 26, 2007
Funciones de Seguridad
Funcin de Seguridad: Es una funcin a ser implementada en un Sistema E/E/PE, otro dispositivo relacionado con seguridad o facilidad externa para reduccin de riesgo, cuyo cometido es llevar a, o mantener en, un estado seguro al EBC con respecto a un evento peligroso especfico.
MARZO 26, 2007
Funcin Instrumentada de Seguridad - SIF
Funcin Instrumentada de Seguridad: es una funcin a ser implementada en un SIS, para llevar a, o mantener en, un estado seguro al EBC, con respecto a un evento peligroso especfico.
MARZO 26, 2007
Una funcin instrumentada de seguridad es

simplemente un lazo de control.
Un SIF contendr un cierto nmero de dispositivos y

todos esos dispositivos constituyen parte del SIS.
Un SIS comprende normalmente ms de un SIF. Un SIF puede incluir muchos sensores y una nica
vlvula de seguridad, o un sensor y ms de una vlvula de seguridad. Cualquier combinacin es posible.
MARZO 26, 2007
Propiedades bsicas de las SIF: Medicin Lgica Actuacin Tiempo Integridad de la Seguridad Otras
Mantenimiento Prueba de Funcionamiento Condiciones ambientales
MARZO 26, 2007
Criterio para la asignacin de las SIF

Qu hay que proteger? Cmo se hace? Qu variable hay que medir Sobre qu hay que actuar? Cundo hay que hacerlo? Cul debe ser el tiempo de respuesta? Bajo qu aplicacin?
MARZO 26, 2007
Sistema Instrumentado de Seguridad - SIS
Mltiples SIF, con diferente SIL, dentro de un SIS
MARZO 26, 2007
Integridad de la Seguridad
Probabilidad de que un sistema relacionado con seguridad

desempee satisfactoriamente la funcin de seguridad requerida bajo todas las condiciones establecidas y dentro de un perodo de tiempo especificado.
MARZO 26, 2007
Nivel de Integridad de la Seguridad - SIL
Nivel discreto, uno de cuatro posibles, para especificar los

requerimientos de integridad de la seguridad de una funcin de seguridad a ser asignado al Sistema instrumentado de Seguridad, donde el nivel de integridad de la seguridad 4 es el ms alto nivel y el nivel de integridad de la seguridad 1 es el ms bajo.
MARZO 26, 2007
Nivel de Integridad de la Seguridad - SIL
Es una propiedad de la funcin de seguridad completa. Cada valor corresponde a un rango seleccionado de
probabilidad de fallas de la funcin de seguridad. Es una medida cualitativa de la seguridad. Es una unidad mtrica cuantitativa de la confiabilidad. No hay regulaciones que asignen un valor SIL a un proceso particular. No es una medida del riesgo. La asignacin de SIL es una decisin que debe tomar la empresa. Cuanto ms alto el nivel SIL, ms estrictos son los requerimientos tcnicos y administrativos.
MARZO 26, 2007
Definiciones Qu es disponibilidad? Es la fraccin de tiempo en la que un sistema es operacional y en un determinado instante de tiempo: A = MTTF / (MTTF + MTTR). No indica como es el desempeo del sistema durante ese perodo de tiempo, slo expresa la probabilidad de que estar operando en un determinado instante entre ciclos de reparacin.
MARZO 26, 2007
Definiciones
Confiabilidad
Es la probabilidad de que un sistema, incluyendo todo el hardware, software y firmware, desempear satisfactoriamente la funcin para la que ha sido diseado, sin fallas, dentro de un ambiente especificado y durante un periodo de tiempo especificado. R (t) = exp ( - (1/MTTF)t) R (T) = exp (- t)
MARZO 26, 2007
Definiciones
Confiabilidad es una funcin del tiempo operativo. Todas las funciones de confiabilidad comienzan con confiabilidad uno y decrecen hasta confiabilidad cero. El dispositivo debe cumplir su funcin durante el intervalo de tiempo completo. La expresin Confiabilidad = 0.76 para un tiempo de 100.000 hs tiene perfecto sentido.
MARZO 26, 2007
Confiabilidad vs. Disponibilidad
Disponibilidad no es igual a confiabilidad Disponibilidad brinda informacin acerca de cmo Ud. utiliza
su tiempo.
Confiabilidad brinda informacin acerca del intervalo libre de

fallas.
Ambas se expresan en valores porcentuales (%)
MARZO 26, 2007
Nivel de Integridad SIL Safety Integrity Level Probabilidad de Falla en Demanda Reduccin de Riesgo
0.0001 0.00001
10000 - 100000
3 2
0.001 0.0001 0.01 0.001
1000 - 10000 100 - 1000
0.1 0.01
10 - 100
MARZO 26, 2007
Estados de los Sistemas de Seguridad
Un Sistema de Seguridad puede estar en uno de los siguientes

estados:
Normal: no tiene fallas internas Seguro: el sistema de seguridad ha fallado de una manera tal que la
funcin de seguridad ha reaccionado tal como fue diseada an ante la ausencia de una demanda
Peligroso: el sistema de seguridad ha fallado de una manera tal que

la funcin de seguridad no reacciona tal como fue diseada ante una demanda
Intermedio: la funcin de seguridad puede an reaccionar tal como

fue diseada a pesar de la presencia de una o ms fallas internas
MARZO 26, 2007
Estado Sistema de Seguridad vs. Proceso
Sistema de Seguridad Estado Normal Disponible
Proceso o EBC
Estado Seguro
Parado
Estado Peligroso
Disponible pero no protegido
Estado Intermedio
Disponible pero es necesario reparar el sistema de seguridad
MARZO 26, 2007
Fallas en los Sistemas de Seguridad
Una Falla es el fin de la habilidad de una unidad funcional

de desempear una funcin determinada o esperada.
Falla aleatoria Falla sistemtica

Falla de Causa Comn Falla de Modo Comn
Cualquiera de estas fallas pone al sistema de seguridad en un estado especfico.
MARZO 26, 2007
Una Falla aleatoria es una falla espontnea de un componente

del hardware en cualquier momento.
Es aquella que ocurre por desgaste del equipamiento debido al

uso.
Permanente existe hasta que se repara Dinmica existe slo bajo determinadas circunstancias
Una Falla sistemtica es una falla oculta
Puede ser un error de diseo o implementacin. Puede ser una falla de hardware o de software. Tcnicas hardware o software Administrativas especificaciones de diseo, manuales de usuario, procedimientos
Una Falla de Causa Comn es una falla resultado de uno o ms eventos que causan fallas de dos o ms canales separados en un sistema de mltiples canales, conduciendo a una falla de sistema.
Los eventos deben estar relacionados con eventos ambientales
Falla de Modo Comn es la falla de uno o ms canales de la misma manera, causando el mismo resultado errneo.
MARZO 26, 2007
Falta
Condicin anormal que podra causar una reduccin en, o

la prdida de, la capacidad de una unidad funcional de desempear la funcin requerida.
Error
Discrepancia entre el valor o condicin calculado,

observado o medido y el valor o condicin real, especificado o tericamente correcto.
MARZO 26, 2007
Normas, Leyes, Regulaciones
MARZO 26, 2007
Normas y Prcticas Recomendadas
Evolucin histrica
MARZO 26, 2007
IEC 61508
Functional safety of E/E/PE safety-related systems

Una norma internacional para todas las industrias en las que se utilizan Sistemas Elctricos / Electrnicos / Electrnicos Programables en aplicaciones relacionadas con seguridad
Siempre que sea posible, se debe tener una separacin entre las funciones relacionadas con seguridad y las que no lo estn.
MARZO 26, 2007
IEC 61508
Es una publicacin de IEC sobre seguridad Es una norma genrica de seguridad para ser utilizada cuando en
un sector especfico de la industria no haya normas de seguridad
Principalmente se ocupa de Sistemas E/E/PES relacionados con

seguridad cuya falla podra tener un impacto en la seguridad de las personas, el ambiente y la propiedad.
En suma, proporciona una gua para el uso de Sistemas Elctricos /

Electrnicos / Electrnicos Programables en funciones de seguridad
MARZO 26, 2007
IEC 61508
En 1997 IEC 61508 introduce el Ciclo de Vida de Seguridad,

un concepto cuantitativo y cualitativo que incluye el concepto de SIL (Nivel de Integridad de la Seguridad)
La norma es de aplicacin voluntaria

SIN EMBARGO!
Es una necesidad legal de la industria de cualquier sector

utilizar las mejores prcticas para ejecutar esta funcin Y
El estndar IEC 61508 es considerada una buena prctica de

ingeniera y es mencionada dentro del mbito legal y jurdico en ciertos pases como tal
MARZO 26, 2007
IEC 61508 - Estructura de la norma
MARZO 26, 2007
IEC 61508 Base para otras normas
MARZO 26, 2007
IEC 61508 Tecnologas aceptadas E/E/PE
Rels elctricos y electro-mecnicos Sistemas electrnicos de estado slido Sistemas electrnicos programables, Controladores lgicos
programables, Sistemas basados en microprocesadores, Sistemas de control distribuido, Sistemas Abiertos de Control y otros dispositivos basados en microprocesadores, por ejemplo sensores / transmisores / actuadores inteligentes
Genricamente, estos sistemas son conocidos en la norma

como Sistemas relacionados con la SEGURIDAD
MARZO 26, 2007
IEC 61508 Sistemas Relacionados con Seguridad
Un sistema relacionado con la seguridad, comprende todo lo

necesario ( dispositivos, programas, programacin y elemento humano) para llevar a cabo una o ms funciones de seguridad, donde la falla de dicha funcin de seguridad puede dar lugar a un incremento significativo del riesgo, afectando la seguridad de las personas, el ambiente y la produccin.
Un sistema relacionado con seguridad puede comprender

equipamiento autnomo dedicado a desempear una funcin de seguridad particular (por ejemplo un sistema de deteccin de incendio) o puede estar integrado dentro de otro equipamiento o sistema de planta (por ejemplo el control de velocidad de un motor de una mquina herramienta)
MARZO 26, 2007
IEC 61508 Sistemas Relacionados con Seguridad
Las consecuencias de una falla podran tener serias implicancias

econmicas, en estos casos la norma puede ser utilizada para especificar sistemas E/E/EP relacionados con seguridad para proteger el equipamiento, la planta, el producto y/o la produccin.
MARZO 26, 2007
IEC 61508 - Ciclo de Vida de Seguridad
MARZO 26, 2007
IEC 61508 Alcance de la Norma
Define las actividades del Ciclo de Vida

Desarrollo de los requerimientos generales de seguridad Asignacin de los requerimientos de seguridad al sistema E/E/EP
relacionado con seguridad
Instalacin, comisionado y validacin del sistema E/E/EP

relacionado con seguridad
Operacin, mantenimiento, modernizacin, desinstalacin o

disposicin final del sistema E/E/EP relacionado con seguridad
Describe los requerimientos para la Administracin de la

seguridad funcional
Describe los requerimientos para la Evaluacin de la seguridad

funcional
MARZO 26, 2007
IEC 61511
Functional Safety: Safety Instrumented Systems for the Process Industry
Se ha desarrollado especficamente para la implementacin de la IEC 61508 en el sector de Procesos. Alcance limitado a Usuarios y a Integradores de Sistemas. Usuarios e Integradores deben considerar a IEC 61508 como el requerimiento bsico para equipamiento
MARZO 26, 2007
Estructura IEC 61511
MARZO 26, 2007
Estructura IEC 61511
MARZO 26, 2007
Estructura de IEC 61511 vs IEC 61508
MARZO 26, 2007
Estado legal de IEC 61508 / IEC 61511
La adopcin de los estndares internacionales IEC por parte

de cualquier pas, sea o no miembro de IEC, es enteramente voluntario. Los Comits Nacionales de IEC estn encargados de aplicar los estndares internacionales IEC en forma transparente, con la mayor extensin posible dentro de las normas nacionales y/o regionales existentes. Cualquier divergencia entre las normas internacionales IEC y las normas nacionales en vigencia deber ser indicado explcitamente dentro del cuerpo de las normas nacionales.
MARZO 26, 2007
Ciclo de vida de seguridad IEC 61511
Al igual que en IEC 61508, se utiliza como marco para estructurar los requerimientos relativos a especificacin, diseo, integracin, operacin, mantenimiento, modificacin y desinstalacin de un Sistema de Seguridad. Cada fase tiene un conjunto definido de entradas y salidas y, hacia el fin de cada fase, una verificacin debe ser realizada para confirmar que las salidas obtenidas estn de acuerdo con los requerimientos
MARZO 26, 2007
Ciclo de Vida
IEC 61511
MARZO 26, 2007
Beneficios de las Normas IEC
Ofrecen recomendaciones sobre como mejorar la seguridad Proveen una gua de buenas prcticas de ingeniera Conforman un modelo de gestin de la seguridad Proveen un modelo de ciclo de vida de seguridad Recomiendan como gestionar la planificacin, documentacin y
evaluacin de la seguridad funcional de la planta
No absuelven a los usuarios de su responsabilidad por la seguridad de la planta, los trabajadores, las comunidades vecinas y el medio ambiente.
MARZO 26, 2007
ANSI/ISA 84.00.01 - 2004
Application of Safety Instrumented Systems for the Process Industries El SIS debe estar separado del SBCP Los sensores del SIS deben estar separados de los sensores del SBCP. Las reas de separacin son bien claras: Procesador lgico Sensores de campo Elementos finales de control Comunicaciones con otros sistemas Primera edicin 1996 En su ltima edicin del ao 2004, adopta el esquema de la norma IEC 61511
AIChE CCPS
Guidelines for Safe Automation of Chemical Processes (1993)
Normalmente, el procesador lgico del SIS est separado de su componente similar en el SBCP. Por lo tanto, los sensores y elementos finales de control del SIS estn, generalmente, separados de sus similares en el SBCP. Se debe tener una separacin fsica, funcional e identificacin entre los componentes del SBCP y el SIS incluyendo sensores, actuadores, procesadores, mdulos de E/S, chasis...
MARZO 26, 2007
Leyes Locales
Ley 19587 Ley de Higiene y Seguridad en el Trabajo Decreto 351/79 Reglamentacin Ley 19587 Ley 24557 Riesgos de Trabajo Ley 13660 y Decreto 10877/60 Seguridad de Instalaciones de
Elaboracin, Transformacin y Almacenamiento de Combustibles Slidos Minerales, Lquidos y Gaseosos
IEC en Argentina est representado por CEA Comit

Electrotcnico Argentino.
CEA depende de AEA y del IRAM.
MARZO 26, 2007
Gestin de la Seguridad Funcional
MARZO 26, 2007
Gestin de la Seguridad Funcional
Un sistema de seguridad es funcionalmente seguro si: Las fallas aleatorias, sistemticas y de causa comn no
conducen a un malfuncionamiento del sistema de seguridad y no resultan en:
Daos a la salud humana. Incapacidad o fatalidades de personas. Prdidas a la atmsfera de sustancias peligrosas. Prdidas materiales: edificios y equipos. Prdida de capital de trabajo.
MARZO 26, 2007
Gestin de la Seguridad Funcional - GSF
GSF es parte de las medidas organizacionales que se toman para

lograr una efectiva implementacin de los requerimientos tcnicos y slo apunta a lograr y mantener la seguridad funcional de los sistemas relacionadas con seguridad.
Un buen sistema de gestin de la seguridad funcional bsicamente

reduce el riesgo ante fallas y garantiza una organizacin para cumplir los objetivos de seguridad en una direccin estructurada.
Alcanzar la seguridad no es un tiro con suerte con GSF, sino que

es la nica va posible para tener un proyecto exitoso.
MARZO 26, 2007
Tiene dos objetivos: El primero es especificar las actividades tcnicas y de gestin

generales durante las distintas fases del ciclo de vida del E/E/PES y del software que son necesarios para alcanzar el nivel requerido de seguridad funcional.
El segundo es especificar las responsabilidades generales de

las personas, departamentos y organizaciones responsables de cada fase del ciclo de vida de seguridad o por actividades dentro de cada fase. Gestin de Seguridad Funcional es la clave para garantizar la seguridad.
MARZO 26, 2007
GSF incluye los siguientes requerimientos:

Identificacin de los individuos, departamentos u organizaciones que sern responsables de cada tarea del ciclo de vida definido en la IEC 61508 Determinar que las personas que tendrn asignada una responsabilidad son competentes Define cuando tendrn lugar las actividades de verificacin, evaluacin, auditoria y validacin Requiere procedimientos para la evaluacin del desempeo de las SIF despus que han sido instaladas Requiere que, al menos, se haya realizado una evaluacin de seguridad funcional antes de introducir materiales peligrosos en el proceso.
MARZO 26, 2007
Quienes requieren GSF
Sistemas tpicos relacionados con

seguridad: Sistemas Parada de Emergencia Sistemas de Fuego y Gas Sistemas Supervisin de Quemadores BMS Salvaguardas de Turbinas y Compresores Sistemas de monitoreo de bombeo gasoductos y oleoductos Equipamiento para test de carrera parcial de vlvulas
Industrias tpicas que los

implementan : Petrleo y Gas Qumica Petroqumica Farmacutica Automotriz Automacin Integradores Desarrolladores de productos para esas industrias
MARZO 26, 2007
IEC 61508 vs. IEC 61511
Para ambos estndares GSF tiene cinco objetivos:

Asegurar que los objetivos de seguridad funcional y de niveles de integridad de la seguridad son alcanzados para todos los modos de proceso relevantes. Asegurar una instalacin y comisionado apropiado del SIS. Asegurar la integridad de las funciones instrumentadas de seguridad despus de la instalacin. Mantener la integridad de la seguridad durante la operacin.
Gestionar los peligros del proceso durante las actividades de

mantenimiento del SIS.
MARZO 26, 2007
Documentacin
La Seguridad debe ser documentada. La documentacin tiene

que contener suficiente informacin necesaria para desarrollar efectivamente:
Cada fase del ciclo de vida de seguridad La gestin de la seguridad funcional Las actividades de verificacin y validacin Las evaluaciones de seguridad funcional.
MARZO 26, 2007
Documentacin
Fase
Todas las fases Anlisis de peligros y de riesgos Requerimientos generales de seguridad Planificacin general de la Validacin Planificacin general de la Instalacin y Operacin Realizacin Instalacin y Comisionado Validacin de la seguridad funcional Operacin y Mantenimiento Cambios y Modificaciones
Informacin
Plan de seguridad; Planes de verificacin y validacin Informes HAZOP, FMEA, FTA Especificacin con todas las funciones de seguridad y sus propiedades de seguridad funcional Plan Plan Diseo del sistema; diseo de hardware; diseo de software; diagramas, manuales, distribucin en planta Informes Informes Registros, informes de auditoria Solicitud de modificacin, informe de anlisis de impacto, aprobacin
MARZO 26, 2007
V & V, Evaluaciones, Auditorias
Actividades de aseguramiento y gestin de la seguridad

funcional:
Verificacin Validacin Evaluacin Auditoria
MARZO 26, 2007
Verificacin y Validacin
Verificacin: actividad para demostrar, al final de cada fase del ciclo de vida
de seguridad, por anlisis y/o pruebas, que ante entradas especficas las salidas cumplen en todos los aspectos los objetivos y requerimientos fijados para cada fase. Ejemplos:
Revisin de los documentos de salida de cada fase Revisin de diseos Pruebas a los productos diseados para asegurar que el desempeo es el
especificado
Validacin: actividad para demostrar que las funciones instrumentadas de

seguridad y los sistemas instrumentados de seguridad bajo consideracin despus de la instalacin cumplen en todos los aspectos con la especificacin de requerimientos de seguridad
MARZO 26, 2007
Verificacin
Objetivo: demostrar mediante revisin, anlisis y/o pruebas que las

salidas requeridas, identificadas en el plan de verificacin, satisfacen los requerimientos definidos para la fase apropiada del CVS
Requerimientos: el plan de verificacin define las actividades a llevar a

cabo:
Procedimientos, medidas y tcnicas Cuando se llevan a cabo Personas, departamentos u organizaciones responsables, incluyendo
nivel de independencia
Identificacin de los puntos s verificar Identificacin de la informacin contra la que se lleva la verificacin Como manejar las no conformidades Herramientas de anlisis Documentacin a generar como resultado
Validacin
Objetivo: validar a travs de inspeccin y pruebas que el SIS instalado y

comisionado y sus SIF asociadas cumplen con los requerimientos establecidos en la especificacin de requerimientos de seguridad
Requerimientos: las actividades se definen en el plan de validacin:

Validacin de todos los modos relevantes de operacin el EBC, incluyendo: Preparacin para su uso, incluyendo ajuste de variables Arranque, automtico, manual, semi automtico, estado estacionario de operacin Re arranque, parada, mantenimiento Condiciones anormales (aquellas posibles) Procedimientos, medidas y tcnicas a utilizar Cuando se har la validacin Personas, departamentos u organizaciones responsables, incluyendo nivel de
independencia
Identificacin de la informacin contra la que se lleva la validacin

Validacin Actividades adicionales
Identificacin del software de seguridad que necesita ser validado Informacin de la estrategia tcnica de validacin
Tcnicas manuales y automticas Tcnicas estticas y dinmicas Tcnicas analticas y estadsticas
Ambiente en el que se desarrollar la validacin Criterio pasa/falla para la validacin del software:
Seales de entrada requeridas del proceso y del operador, con secuencias y
valores
Seales de salida anticipadas con secuencias y valores Otros criterios de aceptacin, por ejemplo: uso de memoria, tolerancias de tiempos
y valores.
Polticas y procedimientos para la evaluacin de los resultados de la validacin,

en particular las fallas.
Validacin - Documentacin
Versin del plan de validacin utilizado SIF bajo prueba Herramientas y equipos usados, con datos de calibracin Resultados de cada prueba Versin de la especificacin de prueba usada Criterio de aceptacin de las pruebas Versin del hardware y software bajo prueba Cualquier discrepancia entre los resultados obtenidos y los esperados En caso de ocurrir una discrepancia, anlisis realizado y decisiones tomadas respecto de continuar con las pruebas o solicitar un cambio
Documentacin generada como resultado
MARZO 26, 2007
Evaluacin de Seguridad Funcional
Es una investigacin, basada en evidencia, para juzgar la seguridad funcional alcanzada por uno, o ms, sistemas E/E/PE relacionados con seguridad, otros sistemas relacionados con seguridad que emplean otras tecnologas o facilidades externas para la reduccin del riesgo. Esta es una actividad crtica que asegura que la seguridad funcional se ha alcanzado satisfactoriamente. Las personas que ejecutan la evaluacin de la seguridad funcional deben ser competentes, deben tener la adecuada independencia y deben considerar las actividades que se llevan a cabo y los resultados obtenidos durante cada fase de cada ciclo de vida y juzgan si se han cumplido los objetivos y requerimientos de IEC 61508.
MARZO 26, 2007
Nivel de Independencia
Nivel Mnimo de Independencia Persona Independiente Departamento Independiente Organizacin Independiente HR = Altamente recomendable
Nivel de Integridad de la Seguridad 1 HR 2 HR HR 3 NR HR HR 4 NR NR HR
NR = No recomendado
MARZO 26, 2007
Auditorias
Son similares a las Evaluaciones Se enfocan en la implementacin general del SIS respecto del ciclo de
vida, que permite evaluar la efectividad de la implementacin del SIS.
Es una evaluacin realizada en forma peridica Aplica a las fases del ciclo de vida ms extensas, tal como operacin,
mantenimiento y reparacin
Los procedimientos de auditoria requieren:

Frecuencia de realizacin Independencia entre las personas que desarrollan las tareas y las que
hacen la auditoria
Registro de resultados y seguimiento
MARZO 26, 2007
Riesgos y Peligros
MARZO 26, 2007
El Riesgo en la sociedad moderna
El riesgo no es un problema nuevo. Siempre ha existido. La industrializacin ha reemplazado los peligros basados en la
naturaleza por nuevos basados en la tecnologa.
Todas las actividades humanas involucran riesgo. La sociedad

demanda que esos riesgos se controlen o minimicen.
Adems, demanda saber cules son los riesgos asociados con

las tecnologas peligrosas, los escenarios de caso peor, los peligros de contaminacin.
Eliminar el riesgo es casi imposible. La reduccin del riesgo es

posible hasta un cierto lmite. A partir de all los costos asociados pueden tornar inviable una inversin o actividad industrial.
MARZO 26, 2007
Evaluaciones Necesarias
1- Cules son las fases peligrosas del Proceso? - Arranque - Parada - Parada de Emergencia - Cambio de turno 2- Cules son las peores consecuencias? - Muerte - Lesiones incapacitantes - Daos al Medio Ambiente - Daos a la propiedad - Prdidas Econmicas: produccin, lucro cesante, equipos
3- Fallas en el Sistema de Seguridad debern producir paradas de proceso? - Sensores simples o redundantes? - Rels o SEPs? - Solenoides o vlvulas? - Seguridad o disponibilidad?
4- El Sistema de Seguridad deber tener fallas no detectadas (encubiertas)? - Diagnsticos limitados -- Rels o SEPs - SEPs redundantes -- Fallas encubiertas
5- Con qu frecuencia deber verificarse el Sistema de Seguridad? - 1, 2 ms veces al ao? - En las paradas de mantenimiento? - Continuamente -- Auto-verificado?
6- Con qu frecuencia ocurrira un accidente sin un sistema de seguridad? - Muchas veces por ao? - Varias veces por ao? - Pocas veces por ao?
7- Se trabaja con materias primas peligrosas? 8- Se fabrican productos intermedios peligrosos? 9- El personal que est presente en planta, ya sea propio, contratado, proveedores o visitantes, est debidamente entrenado? 10- Est instalada una cultura en seguridad apoyada y promocionada por la gerencia?
MARZO 26, 2007
El problema es lo que no se ve
MARZO 26, 2007
Peligro - Definicin
Una condicin fsica o qumica que tiene el potencial de causar

dao a personas, propiedades o al ambiente (CCPS). Por dao se entiende lesiones fsicas o perjuicios a la salud, ya sea en forma directa o indirecta, como resultado de perjuicios a la propiedad o al ambiente.
Potencial fuente de dao (IEC 61511). El trmino incluye peligros

para las personas que crecen en un corto perodo de tiempo (por ejemplo, fuego o explosin y tambin aquellos que tienen efectos de largo plazo sobre la salud de las personas (por ejemplo, emisin de una sustancia txica).
MARZO 26, 2007
Evento Peligroso - Definicin
Un evento es una situacin en general asociada con un

incidente, ya sea la causa raz o una causa contribuyente al incidente.
Un evento peligroso se produce cuando el peligro potencial

ha ocurrido.
MARZO 26, 2007
Qu es Riesgo?
Riesgo Medida de potenciales prdidas econmicas, dao a las personas, o dao al ambiente en trminos de posibilidad de ocurrencia y de magnitud de las consecuencias (prdidas, perjuicios o daos)
Consecuencia: Una medida de los efectos esperados de un incidente determinado
Probabilidad (likelihood): Una medida de la probabilidad esperada o frecuencia de ocurrencia de un evento
Riesgo = Consecuencia x Frecuencia

Es posible eliminar todos los Riesgos?
Riesgo Intolerable
ALARP
Lleve la consecuencia y/o la frecuencia de potenciales incidentes a un nivel de riesgo tolerable
El concepto ALARP puede ser utilizado cuando se adoptan objetivos de riesgo cualitativos o cuantitativos
Riesgo Tolerable
Riesgo Aceptable
MARZO 26, 2007
Criterio de aceptabilidad del riesgo
MARZO 26, 2007
Riesgos tpicos del trabajo
MARZO 26, 2007
Estadsticas en Argentina
Tabla NH 19: Cantidad y distribucin porcentual de incapacidades permanentes

por tipo de evento, e ndice de incidencia. Repblica Argentina, ao 2005. Anuario publicado por SRT. 2003 Cantidad % 14.849 68,7% 3.342 15,5% 1.698 1.736 7,9% 8,0% 2004 Cantidad %. 18.380 66,3% 4.166 15,0% 2.687 2.498 9,7% 9,0% 2005 Cantidad % 24.136 72,0% 4.920 14,7% 2.681 1.796 8,0% 5,4%
Tipo de evento Accidente de trabajo Accidente in itinere Enfermedad profesional Reingreso Total Trabajadores cubiertos Incidencia x 1.000 trabajadores
21.625 100,0% 4.716.556 4,6
27.731 100,0% 5.355.265 5,2
33.533 100,0% 6.000.749 5,6
MARZO 26, 2007
Criterio de aceptabilidad del riesgo
El proceso de decisin sobre el nivel de riesgo aceptable es

complejo
Los objetivos son mltiples y, en ocasiones, contradictorios Es necesario tomar en cuenta consideraciones humanitarias,
econmicas, de responsabilidad legal, de responsabilidad social y de imagen pblica
Un riesgo catastrfico es menos aceptable socialmente, que la

suma de un conjunto de riesgos de pequea magnitud, an cuando el riesgo total para las personas y para la propiedad fuese idntico
MARZO 26, 2007
Porqu hay que bajar el riesgo?
Mayor compromiso con el cuidado del ambiente Proteccin de los empleados y la propiedad Ms regulaciones gubernamentales y
requerimientos de la sociedad
Nuevas normas de seguridad Litigios legales iniciados por grupos de inters Imagen de la compaa
MARZO 26, 2007
Reduccin de Riesgos
Riesgo Residual Nivel de Riesgo Aceptable SIS SV, RV Externos Alarma
Integridad Mecnica equipos, caeras, etc.
Riesgo Inherente al Proceso
SBCP
PROCESO
RIESGO
Reduccin de Riesgos
Preguntas aplicables a cualquier industria de procesos

Cules son los peligros? Qu puede salir mal y porqu? Cules son las probabilidades? Cules son las consecuencias?
MARZO 26, 2007
Reduccin de Riesgos
Consecuencias de eventos peligrosos Fuego Explosin Explosin de nube de vapor Formacin de atmsfera txica
MARZO 26, 2007
Reduccin de Riesgos
Diferentes terminologas para situaciones peligrosas: Escenarios que determinan fenmenos peligrosos de tipo trmico

Incendio de charcos Dardos o Chorros de fuego Llamarada / Nube de fuego BLEVE Bola de fuego
Escenarios que determinan fenmenos peligrosos de tipo mecnico

Explosin de nube de vapor (VCE). Confinadas o no confinadas Ruptura de alta presin Explosin BLEVE
BLEVE: Boiling Liquid Expanding Vapor Explosion Ing. Qco. Roberto E. Varela
MARZO 26, 2007
Medida del Riesgo
Riesgo individual Es la probabilidad de ocurrencia de una consecuencia no

deseada debida a un accidente a un ser humano individual que est en un determinado punto (X,Y)
Riesgo Social Expresa la relacin entre la frecuencia esperada y el

nmero de personas que sufren un determinado tipo de dao debido a la ocurrencia de un peligro especfico
MARZO 26, 2007
Riesgo Pblico o Social Curva FN para Riesgo Social F r e c u e n c i a E s p e r a d a

103
F
Inaceptable
105
Reduccin Deseada Aceptable
Lneas FN
102
103
Nmero N de Probables fatalidades

MARZO 26, 2007
Cuantificacin del nivel del Riesgo
Para poder decidir si un riesgo es o no aceptable, hay que estimar,

de alguna manera su magnitud.
Esto implica un anlisis previo Hay que desarrollar una estimacin del nivel de peligro potencial
de una actividad.
Estos peligros estarn referidos tanto a personas como a bienes

materiales, en trminos de magnitud del dao y de la probabilidad de ocurrencia
Es una herramienta necesaria para la toma de decisiones, ya sea

jerarquizando las estrategias de reduccin de riesgo o comparando con los niveles de riesgo fijados como objetivo para la actividad en estudio
Evaluacin de Riesgos Tcnicas y Mtodos
Los mtodos de evaluacin de riesgos se pueden dividir en: Cualitativos: Evaluacin realizada por un experto o panel de
expertos que juzgan la frecuencia y las consecuencias de los riesgos. Usualmente el resultado se presenta en formato matriz.
Cuantitativos: Evaluacin realizada utilizando datos de

frecuencia de fallas (humanas y de equipos) para calcular la probabilidad de falla ante una demanda y. en algunos casos, modelos de consecuencia para evaluar impacto potencial.
MARZO 26, 2007
Objetivos de un Anlisis de Riesgo Cualitativo
Identificacin de aquellas desviaciones del proceso que

pueden conducir a un evento peligroso.
Determinacin de la severidad de un evento peligroso. El anlisis debe hacerse asumiendo que no est presente
ninguna capa de proteccin, incluyendo dispositivos de mitigacin pasivos o activos.
Analiza la probabilidad de ocurrencia de un evento peligroso. Hacer recomendaciones concernientes a los mtodos de
reduccin de riesgo necesarios.
MARZO 26, 2007
Anlisis de Riesgo Cualitativo
Todos los mtodos requieren de un equipo de

personal especializado en distintas reas para identificar los peligros asociados al proceso.
Los efectos de las desviaciones del proceso son

examinadas para determinar las reas de riesgo.
Los resultados se basan en la aplicacin de buenas

prcticas de ingeniera.
MARZO 26, 2007
Anlisis de Riesgo Cualitativo
El equipo debe aplicar tcnicas de mitigacin en el siguiente orden:
Cambios en el diseo mecnico del proceso, incluyendo la distribucin de los equipos o de la planta. Integridad mecnica del equipamiento Reemplazo de sustancias utilizadas por el proceso Aplicacin de SBCP Procedimientos de Operacin, Mantenimiento y Entrenamiento Aplicacin de SIS Otros sistemas relacionados con seguridad que emplean otras tecnologas
MARZO 26, 2007
Qu son? Usualmente se
presentan como las capas de una cebolla.
Cada capa es
independiente en trminos de operacin
La falla de una capa no

afecta a las otras capas.
MARZO 26, 2007
Restricciones Suficientemente independientes de manera tal que

la falla en una de las IPL no afecta adversamente la probabilidad de falla de las otras IPL.
Diseadas para prevenir eventos peligrosos, o

mitigar las consecuencias de un evento peligroso.
Diseadas para desempear su funcin de

seguridad durante condiciones de diseo normales y anormales.
Desempeo auditable.
MARZO 26, 2007
IPLs proveen
Prevencin (activa baja probabilidad)

Alarmas con respuesta del operador Sistema Instrumentado de Seguridad
Mitigacin (activa baja probabilidad/consecuencia)
Vlvula de alivio de presin
Proteccin (pasiva baja consecuencia)

Diques Diseo mecnico Barricadas
MARZO 26, 2007
Tcnicas de Anlisis de Riesgo
MARZO 26, 2007
Tcnicas de Anlisis de Riesgo
Anlisis de Peligros y Anlisis Causa - Consecuencia Operabilidad (HAZOP) Lista de Verificacin Confiabilidad Humana Anlisis rbol de Eventos Anlisis de Peligros Anlisis Modos de Falla & Efectos
(FMEA) Preliminares (PHA) (Hazid)
Anlisis Modos de Falla, Efectos &

Criticidad (FMECA)
Identificacin de Peligros Anlisis Qu pasa s? Anlisis Qu pasa si?/Lista

de Verificacin
Anlisis rbol de Fallas (FTA) LOPA
MARZO 26, 2007
HAZOP
HAZard: Peligro Riesgo
OPerability: Operabilidad
Anlisis de peligros y de operabilidad (HAZard and OPerability studies HAZOP)
Las instalaciones son diseadas para adecuarse a las condiciones

normales de trabajo, pero deben ser capaces de soportar alteraciones previsibles, aunque sean ocasionales, sin generar daos a personas y bienes.
Mtodo diseado por la ICl en la dcada de los sesenta para su

aplicacin en el diseo de plantas para la fabricacin de pesticidas, con la finalidad de detectar las situaciones de inseguridad.
MARZO 26, 2007
Caractersticas de los Sistemas
MARZO 26, 2007
Sistemas de Control
Caracterstica
Operacin Normal Utilizacin Operacin Humana Seales Entrada/Salida En Servicio/Fuera Servicio
DCS
Dinmico. Activo continuamente Continua Interaccin continua Principalmente analgicas Frecuente transf. auto-manual
Test de Fallas
En general auto reveladas
Tiempo Medio para Reparar Interfaz con Operador
Menos crtico Dominada por Operadores
MARZO 26, 2007
Sistemas de Seguridad
Caracterstica
Operacin Normal Utilizacin Operacin Humana Seales Entrada/Salida En Servicio/Fuera Servicio
SIS
Pasivo, hasta una demanda Intermitente Interaccin infrecuente Principalmente discretas Nunca fuera de lnea
Test de Fallas
Para revelar fallas ocultas
Tiempo Medio para Reparar Interfaz con Operador
Crtico para alta disponibilidad Slo informes de estado
MARZO 26, 2007
Separacin de SBCP y SIS
En instalaciones de SIS antiguas, la separacin fue

asegurada debido a que los enclavamientos de seguridad eran tpicamente sistemas cableados (harwired) con rels electromecnicos montados en un gabinete cerrado.
Dos reas en particular requieren atencin especial en el

diseo de un SIS: la interfaz Hombre/Mquina y el Programa de Aplicacin.
MARZO 26, 2007
Puedo realizar las funciones de mi SIS en mi SBCP?
Los expertos en el campo de los sistemas de seguridad no

recomiendan realizar las funciones de seguridad de los SIS en los Sistemas Bsicos de Control De Procesos (SBCP)
Las normas IEC 61508 / 61511 y ANSI/ISA 84.00.01- 2004

lo recomiendan fuertemente, excepto para niveles bajos de integridad (Nivel 1).
La separacin de ambas funciones es altamente

recomendable.
MARZO 26, 2007
SIS vs. SBCP - Porqu deben Separarse
Se reducen las chances de un error humano. Hace que los SIS sean distintos, permitiendo la
implementacin de precauciones especiales consistentes con las demandas del SIS.
Garantiza la seguridad y la integridad, permitiendo al SIS

alcanzar un nivel de seguridad e integridad igual o mejor que el de los sistemas a rel.
Asegura que no se realicen cambios no autorizados. Elimina las fallas de modo comn.
MARZO 26, 2007
SIS vs. SBCP - Porqu deben Separarse (cont.)
Acceso restringido. Se asegura que los cambios de software en lnea al Sistema

de Control SBPC no alteran el programa del SIS.
Asegura que datos corruptos en el SBPC no corrompern

datos en el SIS.
Permite el uso de software para seguridad, mientras que

desacopla al SIS de los cambios inducidos en la programacin de control de procesos.
Facilita el test y el mantenimiento de un equipo

independiente.
MARZO 26, 2007
SIS vs. SBCP - Porqu deben Separarse (cont.)
Esquema tradicional
MARZO 26, 2007
SIS vs. SBCP Tendencia actual
Funciones de control de procesos y de seguridad integradas en un sistema
MARZO 26, 2007
SIS vs. SBCP Tendencia actual
Beneficios de la integracin
Mapeo de datos comn Incremento en la seguridad Herramientas de ingeniera similares Diferencia visual entre el SBCP y el SIS en la Estacin de Operacin Acceso protegido adecuadamente Reduccin significativa en los esfuerzos de integracin Reduccin en los costos de hardware, configuracin, entrenamiento e inventario de partes.
Integrado con, pero separado del, sistema de control
MARZO 26, 2007
Consideraciones sobre votacin
MARZO 26, 2007
Votacin
Se define como el nmero de caminos (M) requeridos del

nmero total de caminos redundantes (N) para desempear la funcin de seguridad.
En general se los expresa como:

MooN XooY
Por ejemplo 1oo2, 2oo3, 2oo4
MARZO 26, 2007
Consideraciones sobre Votacin
MARZO 26, 2007
MARZO 26, 2007
MARZO 26, 2007
MARZO 26, 2007
MARZO 26, 2007
Tipo de Fallas en Sistemas de Seguridad
MARZO 26, 2007
Definiciones
Falla Peligrosa:
Falla que tiene el potencial de poner un sistema relacionado con seguridad en un estado peligroso o en un estado en el que falle en el cumplimiento de la funcin de diseo.
Falla Segura:
Falla que no tiene el potencial de poner un sistema relacionado con seguridad en un estado peligroso o en el que falle en el cumplimiento de la funcin de diseo.
MARZO 26, 2007
Falla Peligrosa
Fallas peligrosas son aquellas en las que el sistema de seguridad

falla de manera tal que el proceso controlado no puede ser parado.
Fallas encubiertas: Fallas que no se revelan y permanecen

escondidas hasta que son descubiertas en un test y son reparadas, por ej.: el flotante de un control de nivel que est pegado, el acoplamiento de una vlvula solenoide roto o doblado. Probabilidad de falla peligrosa sobre demanda (PFD(d)) PFD.
MARZO 26, 2007
Falla Segura
A una parada causada por una falla en el sistema de

seguridad y no iniciada por el proceso o una demanda, se la llama falla segura, o disparo falso.
An cuando las fallas seguras no afectan la integridad de la

seguridad, no son deseadas. Producen paradas no programadas.
Fallas descubiertas: Fallas que se auto revelan, es decir

que causan alarma, un evento falso, se las llama fail-safe. Probabilidad de falla segura sobre demanda (PFD (s)) PFS.
MARZO 26, 2007
SEP - Tipos de Fallas
Fuente: ISA-TR84.00.02-2002 - Part 1 Ing. Qco. Roberto E. Varela MARZO 26, 2007
Deteccin de Fallas
Las fallas pueden ser detectadas de tres formas: A travs de la operacin normal A travs de pruebas peridicas de funcionamiento A travs de diagnsticos embebidos en los
subsistemas.
MARZO 26, 2007
A travs de la operacin normal
El comportamiento del proceso revela la existencia de una

falla del equipamiento, por ejemplo:
Parada de una parte del proceso como consecuencia de una

falla del sistema de seguridad.
Este tipo de deteccin no es aceptable, ya que lo que se

desea es tener una operacin continua del proceso, sin paradas no programadas.
MARZO 26, 2007
A travs de pruebas peridicas de funcionamiento
La prueba peridica de funcionamiento es una prueba manual

de funcionamiento del sistema de seguridad, que se realiza segn una determinada programacin.
Se inicia por intervencin de personal autorizado No es una rutina embebida en los sistemas o subsistemas. Ejemplo, prueba parcial de funcionamiento de vlvulas
MARZO 26, 2007
A travs de diagnsticos
Un Test de diagnstico es una prueba que se realiza, en

general, en forma automtica, sin intervencin de persona alguna.
Usualmente son rutinas embebidas en el hardware o software

del sistema de seguridad
MARZO 26, 2007
Cobertura de diagnstico
Se define como la relacin entre la tasa de fallas detectadas

por los diagnsticos embebidos y la tasa de fallas total del componente o subsistema. La cobertura de diagnstico no incluye las fallas detectadas en las pruebas manuales.
Conociendo la cobertura de diagnstico, se pueden calcular las

tasas de fallas detectadas y no detectadas.
DC =
detectadas
total
MARZO 26, 2007
Fraccin de Falla Segura - SFF
Definicin
Tasa de falla Segura + Tasa de Falla Peligrosa Detectada SFF = ------------------------------------------------------------------------------------Tasa de Falla Total
MARZO 26, 2007
SEP - Datos de Ocurrencia de Fallas
En general los datos de ocurrencia de fallas indican la

velocidad de ocurrencia de fallas encubiertas y descubiertas. Por ejemplo, un PLC con CPU doble tiene una velocidad de ocurrencia de fallas de una por ao y una velocidad de falla encubierta de una cada 5 aos.
Los mejores datos de velocidad de ocurrencia de fallas vienen

de los datos de su propia planta, por lo que es aconsejable llevar un registro de mantenimiento confiable.
Sea cuidadoso con los datos suministrados por los fabricantes.
MARZO 26, 2007
Fuentes a consultar para la obtencin de datos de ocurrencia de fallas
OREDA - Offshore Reliability Data Base DNV CCPS - Process Equipment Reliability Data SINTEF - Reliability Data for Control & Safety Systems IEEE STD - 500 1984 para Usinas Nucleares SRD - Safety and Reliability Directorate - UK NPRD - 95 Nonelectronic Parts Reliability Data FMD 97 Failure Mode Mechanism Distributions
MARZO 26, 2007
Sistemas Instrumentados de Seguridad
MARZO 26, 2007
SIS - Requerimientos
El sistema de seguridad o de control crtico debe

funcionar en respuesta a una demanda, cada vez que sea necesario, tal como fue diseado y no debe generar entradas y salidas errneas.
Defecto Cero
MARZO 26, 2007
Cul es la funcin del SIS?
Boom!
Accin Parada Emergencia Nivel Seguridad Mecnica Nivel Disparo Controlado por SIS
Operador toma accin
Alarma Alto Nivel
Alto Nivel Valor de Proceso Comportamiento Normal Bajo Nivel Tiempo
MARZO 26, 2007
Planificacin del Sistema de Seguridad
Los Usuario e Integradores de Sistemas de Seguridad deben

planificar las actividades que se llevarn a cabo como parte del Ciclo de Vida de Seguridad.
Deben elaborar:

Plan de Seguridad Plan de Operacin y Mantenimiento Plan de Instalacin y Comisionado Plan de Validacin
MARZO 26, 2007
Plan de Seguridad
En el Plan de Seguridad se establece cmo se alcanzar

la seguridad funcional.
Contenido tpico:
Ciclo de Vida con sus distintas fases Personas, departamentos y organizaciones involucradas
incluyendo sus responsabilidades
Herramientas, tcnicas, etc. que se utilizarn Medidas para controlar y evitar fallas Procedimientos para Modificaciones
MARZO 26, 2007
Plan de Operacin y Mantenimiento
El objetivo de los requerimientos de esta sub-clusula es el

desarrollo de un plan para la Operacin y Mantenimiento del sistema E/E/PE relacionado con seguridad, para asegurar que la seguridad funcional requerida es mantenida durante la operacin y el mantenimiento.
MARZO 26, 2007
Plan de Validacin
El objetivo de los requerimientos de esta sub-clusula es el

desarrollo de un plan para facilitar la validacin general de la seguridad del sistema E/E/PE relacionado con seguridad.
MARZO 26, 2007
Plan de Instalacin y Comisionado
El primer objetivo de los requerimientos de esta subclusula es el desarrollo de un plan para la instalacin del sistema E/E/PE relacionado con seguridad de una manera controlada, para asegurar que la seguridad funcional requerida es alcanzada.
El segundo objetivo de los requerimientos de esta subclusula es el desarrollo de un plan para el comisionado del sistema E/E/PE relacionado con seguridad de una manera controlada, para asegurar que la seguridad funcional requerida es alcanzada.
MARZO 26, 2007
Planificacin del Sistema de Seguridad
Requerimientos En este punto el Usuario ya ha decidido:

Cuales son las funciones de seguridad. Cuales son funciones instrumentadas de seguridad Tecnologa que se va a implementar
Necesita obtener informacin y documentacin de sus

proveedores para planificar las distintas actividades.
MARZO 26, 2007
Especificacin de Requerimientos de Seguridad
MARZO 26, 2007
SRS Qu es?
Las Especificaciones de Diseo de los Sistemas Instrumentados

de Seguridad incluyen:
Requerimientos de entrada Requerimientos de Integridad de la Seguridad Requerimientos Funcionales de Seguridad
MARZO 26, 2007
SRS Qu es?
La Especificacin de Requerimientos de Seguridad (SRS) es una documentacin requerida por las normas IEC 61511, IEC 61508 y ANSI/ISA S84.00.01-2004 Contiene tanto los requerimientos funcionales de seguridad como los requerimientos de integridad de la seguridad. La SRS sirve de fundacin para el diseo del sistema instrumentado de seguridad (SIS). Todos los pasos del ciclo de vida seguridad que se tomen deben ser siempre verificados con los datos de la SRS. La SRS tpicamente incluye lo siguiente:
MARZO 26, 2007
SRS Qu incluye?
Identificacin de los eventos peligrosos asociados con la unidad de procesos en estudio Identificacin de las causas del evento peligrosos Determinacin de la frecuencia de ocurrencia de los eventos peligrosos Evaluacin de las consecuencias del evento, en trminos de impactos en la seguridad, el ambiente y econmico. Evaluacin de las capas de proteccin disponibles para mitigar los efectos del incidente Determinacin de las acciones de mitigacin Seleccin del nivel de integridad de seguridad para cada SIF y SIS requerido
MARZO 26, 2007
SRS Requerimientos Funcionales de Seguridad - Detalles
Estado seguro del proceso Rango y lmites operativos de las entradas normales de
proceso
Entradas de proceso y puntos de disparo Salidas a proceso y acciones Relaciones funcionales. Modos de Falla Requerimientos para parada manual y reset Requerimientos de Mantenimiento / Bypass Requerimientos de tiempo de respuesta Requerimientos de interfaz Humano - Mquina
SRS Otros Documentos Funcionales
Consideraciones de fallas de causa comn Requerimientos para la puesta en marcha MTBF del equipamiento utilizado para el clculo de
confiabilidad
Requerimientos de equipamiento regulatorio que tenga

impacto en el SIS
MARZO 26, 2007
SRS Para qu?
Canaliza y combina informacin crtica en estructuras de

datos administrables.
Permite una organizacin y diseo de procesos eficiente

reduciendo confusin y reingeniera.
Provee un documento vivo de las razones que existen

detrs del diseo del sistema.
MARZO 26, 2007
SRS Cmo se Desarrolla?
Recursos
Equipo de profesionales y tcnicos con experiencia en Ingeniera de Detalle, Equipos de Proceso y/o Operacin de Planta Modelado del Proceso Informacin de otros procesos similares Polticas y procedimientos corporativos para evaluacin de riesgos Normas y Recomendaciones de Diseo corporativas
Grupo de Instrumentos lidera el Equipo
MARZO 26, 2007
Cuando se debe iniciar un SRS?
Cuando se disean nuevos sistemas o nuevas plantas Cuando se modifican plantas, equipos o sistemas
existentes
MARZO 26, 2007
Evolucin
MARZO 26, 2007
Tecnologas Disponibles
Sistemas cableados basados en rels
Sistemas cableados de estado slido
Sistemas electrnicos programables
Sistemas basados en rels
Primer sistema de proteccin industrial An es considerado uno de los sistemas ms

confiables debido a su alto 98% - predecible modo de falla.
En algunas industrias y aplicaciones un 2% de

modo de falla no predecible es un valor totalmente inaceptable.
Inmunidad a la interferencia
Electromagntica.
MARZO 26, 2007
Sistemas basados en rels - Desventajas
No son necesariamente seguros ante falla porque: - el contacto del rel puede quedar pegado en una posicin cerrado por suciedad o por induccin. - se puede quebrar el resorte - los contactos se pueden quemar - los brazos del contacto se pueden quebrar - ocupan demasiado espacio en los gabinetes (si se agregan temporizadores mayor an es el espacio requerido)
Requieren de un ambiente controlado para mantener la integridad de los contactos, a menos que se utilicen rels hermticamente sellados.
MARZO 26, 2007
Sistemas basados en rels - Desventajas
Sistemas complejos, difciles de diagnosticar y mantener. Documentacin puede ser compleja de leer y de modificar. Redundancia difcil de implementar. Slo pueden implementarse entradas y salidas digitales. No hay comunicacin. No hay diagnsticos para detectar fallas internas. Las modificaciones son difciles de implementar. Al estar energizados en forma continua se reduce el MTBF.
MARZO 26, 2007
Sistemas cableados de Estado Slido
Se utilizan principalmente para la seguridad de maquinaria

(deben energizarse para disparar)
Se han implementado en la industria de refino de petrleo en

los cracking catalticos (desenergizar para disparar, seguros ante falla)
Aplicaciones en sistemas de supervisin y control de

quemadores de calderas
Cada mdulo tiene una funcin lgica especfica
MARZO 26, 2007
Sistemas cableados de Estado Slido - Comentarios
Sus principales componentes (transistores, diodos, triacs)

fallan de manera impredecible, 50% y 50%
No son flexibles si es necesario introducir cambios. Tienen la posibilidad de implementar diagnsticos limitados a
travs de LEDs.
Su modificacin puede ser compleja si no incluyen una placa

base cableada.
Facilidad para la bsqueda de falla y test. No son flexibles si es necesario introducir cambios. No requieren programacin
Controladores Lgicos Programables PLCs
Texas Instruments inventa el circuito integrado (CI) en 1958 El CI abre el camino para el desarrollo de Microcomputadores
Programables y Microprocesadores que constituyen la unidad central de procesamiento.
A travs de la codificacin con un software se reemplazan a los

sistemas basados en rels y a los de estado slido.
Las funciones lgicas y secuenciales se ejecutan en la CPU Ampliamente aceptados en la industria automotriz
MARZO 26, 2007
Controladores Lgicos Programables PLCs
Es un Sistema relacionado con seguridad? Modo de falla similar al de los sistemas de

estado slido: desconocido.
Se requiere redundancia para ser seguro

ante falla.
Hay dudas respecto a su comportamiento

ante fallas seguras y disparos espurios.
Baja disponibilidad en configuracin simple
MARZO 26, 2007
Esquema PLC Redundante
MARZO 26, 2007
Ventajas de PLC Redundantes
Son aceptable para aplicaciones energizar para disparar (ETT) Disponibilidad de entradas y salidas digitales y analgicas. Los puntos de disparo son fciles de ajustar Mejores diagnsticos que en los sistemas de estado slido Comunicaciones con protocolos estandarizados Diagnsticos limitados.
MARZO 26, 2007
PLC - Desventajas
Los disparos falsos o espurios son comunes en las

aplicaciones desenergizar para disparar.
En caso de falla: cul es el procesador correcto, A o B? Si se produce una comparacin errnea, el sistema debe estar
programado para parar.
Errores en las comparaciones resultan en muchos disparos

falsos.
Los cambios a los programas en operacin son muy riesgosos. Las reparaciones en operacin son muy riesgosas.
MARZO 26, 2007
Sistemas EP Tolerantes a Fallas
Es un sistema capaz de continuar en operacin an cuando una

unidad interna haya fallado.
Esta capacidad se alcanza replicando una, dos, tres, n veces,

los componentes internos del sistema.
No existen puntos nicos de falla. Aplicaciones tpicas:

Parada de emergencia de Hornos Supervisin y control de quemadores Sistemas protectivos de maquinarias Reactores exotrmicos
MARZO 26, 2007
Esquema SEP Triple Redundante
MARZO 26, 2007
SEP - Diseo 1oo2D
Input/Output Module
Input Circuit Diagnostic Circuit
CPU Module
CPU
Input/Output Module
Output Circuit Diagnostic Circuit
Diagnostic Circuit
Input/Output Module
Input Circuit
CPU Module
CPU
Input/Output Module
Output Circuit Diagnostic Circuit
Diagnostic Circuit
Diagnostic Circuit
Final Element
Sensor
MARZO 26, 2007
SEP - Desempeo de un Sistema Dual Probabilidad de Falla Segura Peligrosa
A A
(1oo1) 0.04 1oo2 0.08
0.02 0.0004
B B
(muy seguro, pero ms disparos falsos que el simple)

A A
2oo2
B B
0.0016
0.04
(pocos disparos falsos, pero menos seguro que el simple)
MARZO 26, 2007
SEP - Desempeo de un Sistema Triple
Probabilidad de Falla Segura

A A Majority Vote
Peligrosa
B B
(1oo1) 0.04 (1oo2) 0.08 (2oo2) 0.0016
0.02 0.0004 0.04 1oo2D
C C
2oo3
0.0048
0.0012
MARZO 26, 2007
Tcnicas de seleccin de SIL
MARZO 26, 2007
Cmo se selecciona el SIL a partir de un Anlisis Cualitativo?
No hay una respuesta simple para esta pregunta. Algunas compaas dicen Un sistema de seguridad es un sistema
de seguridad por lo que el SIL debe ser SIL 3.
Un mtodo es asignar correlaciones entre SIL y las matrices de

riesgo corporativas
Las Normas IEC 61508 e IEC 61511 presentan distintos mtodos

que pueden aplicarse para la seleccin del SIL.
MARZO 26, 2007
Asignacin de SIL
Rol de los SIS para alcanzar la reduccin de riesgo necesaria
Consecuencias de eventos peligrosos Riesgo del proceso Frecuencia de eventos peligrosos Reduccin de riesgo necesaria Capas de proteccin no SIS Otras capas de proteccin Riesgo tolerable objetivo
SIS
La integridad de seguridad de capas de proteccin para prevencin / mitigacin no SIS y de SIS proveen la reduccin de riesgo necesarias
MARZO 26, 2007
IEC 61508 - Mtodos para la Asignacin de SIL
Cuantitativo Cualitativo Mtodo ALARP Cualitativo - Grficos de Riesgo
MARZO 26, 2007
IEC 61511 - Mtodos para la Asignacin de SIL
Semicuantitativo HazOp + Arbol de Falla Cualitativo - Matrices de Riesgo Semicualitativo - Grficos de Riesgo calibrado Cualitativo - Grfico de Riesgo Cuantitativo - LOPA
MARZO 26, 2007
Matriz de Riesgo de varios niveles
Se puede establecer una matriz de riesgo de acuerdo a las

guas y normas corporativas. Mtodo cualitativo.
La matriz de riesgo se basa en distintos niveles de:

Severidad del Evento Probabilidad de ocurrencia del Evento Capas mltiples de proteccin
La matriz de riesgo debe incluir asignaciones de nivel de

integridad de la seguridad de acuerdo a lo establecido en IEC 61511
MARZO 26, 2007
Matriz de Riesgo - Severidad del Impacto de un Evento
Estimacin de la Severidad Extensa
Impacto
Daos al equipamiento severos. Parada del proceso por largo tiempo. Consecuencias catastrficas para el personal y el ambiente Daos al equipamiento. Parada del proceso por corto tiempo. Daos severos al personal y al ambiente Daos menores al equipamiento. No hay parada del proceso. Daos leves al personal y al ambiente
Seria
Menor
MARZO 26, 2007
Matriz de Riesgo - Probabilidad de un Evento
Tipo de Evento Eventos tales como mltiples fallas de diversos instrumentos y vlvulas, mltiples errores humanos en un ambiente libre de estrs, o fallas espontneas de recipientes de proceso Eventos tales como fallas en vlvulas y en instrumentos, o escape mayor en reas de carga / descarga Eventos tales como prdidas en procesos, fallas en vlvulas e instrumentos, o errores humanos que resulten en una pequea fuga de materiales peligrosos
Probabilidad Baja
Media
Alta
MARZO 26, 2007
Matriz de un solo Nivel
MARZO 26, 2007
Matriz de Varios Niveles
MARZO 26, 2007
IEC 61511- Grfico de Riesgo Calibrado
IEC 61511 describe el mtodo Grfico de Riesgo Calibrado es un mtodo semicualitativo para la determinacin del SIL de una Funcin Instrumentada de Seguridad a partir del conocimiento de los factores de riesgo asociados con el Proceso, el Equipo Bajo Control y el Sistema de Control asociado a ste.
MARZO 26, 2007
Los parmetros a evaluar son:

Consecuencia C Ocupacin F Probabilidad de falla en Evitar el Evento Peligroso P Tasa de Demanda W
MARZO 26, 2007
W
C
A
a 1 2
--a 1 2 3 4
----a 1 2 3
Starting point for risk reduction estimation

C
B
P F F
B
PB P
F F
PB
A
PA P
B
3 4
Generalized arrangement (in practical implementations the arrangement is specific to the applications to be covered by the risk graph)
F F
P P
C = Consequence risk parameter F = Frequency and exposure time risk parameter P = Possibility of failing to avoid hazard risk parameter W = Probability of the unwanted occurrence
--- = No safety requirements a b = No special safety requirements = A single E/E/PES is not sufficient
1 , 2 , 3 , 4 = Safety integrity level
MARZO 26, 2007
IEC 61511- Grfico de Riesgo
IEC 61511 describe el mtodo Grfico de Riesgo. Es un mtodo cualitativo para la determinacin del SIL de una Funcin Instrumentada de Seguridad a partir del conocimiento de los factores de riesgo asociados con el Proceso y el Sistema de Control de procesos. Este mtodo se basa en el mtodo utilizado en la norma DIN V 19520, 1994 Control Technology: Fundamental safety aspects to be considered for measurement and control equipment
MARZO 26, 2007
Los parmetros a evaluar son:

Consecuencia - C Frecuencia de la presencia en la zona peligrosa
multiplicada por el tiempo de exposicin - F
Posibilidad de evitar las consecuencias del evento

peligroso - P
Probabilidad de ocurrencia no deseada - W
MARZO 26, 2007

W3 C1 F1
Punto de arranque para la estimacin de Reduccin de Riesgo
W2 1 2 3 4 5 6 7
W1 1 2 3 4 5 6
P1 P2 P1 P2
1 2 3
C2 F2 F1 F2 C4
4 5 6 7 8
C3
C= Consecuencia F= Frecuencia y Tiempo Exposicin P= Posibilidad Evitar Evento Peligroso W= Probabilidad Ocurrencia No Deseada
(1,2,3,4,5,6,7 y 8) representan la reduccin de riesgo mnima. El vnculo entre la reduccin de riesgo mnima y el SIL se muestran en la siguiente tabla
MARZO 26, 2007
IEC 61511- Grfico de Riesgo - Nivel de Riesgo vs. SIL
MARZO 26, 2007
LOPA - Mtodo Cuantitativo
Este mtodo se inicia a partir de los datos obtenidos en el

estudio HAZOP y detalla cada uno de los peligros identificados documentando la causa inicial y las capas de proteccin que previenen o mitigan el peligro. La reduccin de riesgo total puede ser determinada y se analiza la necesidad, o no, de una mayor reduccin de riesgo. Si se requiere una mayor reduccin de riesgo y esta puede ser provista en la forma de una SIF, la metodologa LOPA permite la determinacin del valor de SIL que corresponde a la SIF.
MARZO 26, 2007
LOPA - Mtodo Cuantitativo
MUY ALTO
PELIGRO
PROBABILIDAD
RIESGO
ACEPTABLE
PELIGRO PROBABILIDAD PROBABILIDAD
PROBABILIDAD
RIESGO
MARZO 26, 2007
LOPA - Niveles Independientes de Proteccin
MARZO 26, 2007
LOPA - Niveles Independientes de Proteccin
Un Nivel Independiente de Proteccin (IPL en

ingls) es una capa de proteccin que prevendr que un escenario inseguro progrese, en forma totalmente independiente del evento iniciador o del desempeo de otra capa de proteccin.
MARZO 26, 2007
LOPA - Implementacin
1. 2. 3. 4.
Estimacin de las consecuencias y de la severidad Desarrollo del escenario Identificacin de la frecuencia del evento iniciador Identificar las capas independientes de proteccin relacionada
5. Identificar el escenario de la frecuencia 6. Tomar una decisin sobre el riesgo
MARZO 26, 2007
LOPA - Niveles Independientes de Proteccin Riesgo no mitigado

IPL1 IPL2 IPL3
Riesgo mitigado = frecuencia reducida * misma consecuencia

Escenario de consecuencia
Prevencin
Prevencin
Prevencin
Falla PFD3 = y3 f3 = x * y1 * y2 * y3
Falla PFD1 = y1 f1 = x * y1
Falla PFD2 = y2 f2 = x * y1 * y2
xito xito
Reduccin de frecuencia para obtener riesgo tolerable
Evento Iniciador Estimated Frequency f1 = x xito
Resultado seguro Resultado seguro Resultado seguro
La Flecha representa severidad y frecuencia del Impacto del Evento si la ltima IPL no es exitosa.
Impacto del evento consecuencia
frecuencia
MARZO 26, 2007
LOPA - Ejemplo
Frecuencia Aceptable del Riesgo Frecuencia del Evento Iniciador PFD IPL1 Diseo del Proceso
10 * E - 7 10 * E - 1 10 * E - 2
PFD IPL2 Sistema de Control de Procesos SBCP 10 * E - 1 10 * E - 1 PFD IPL3 Alarmas + Operador SIL (1 3) Requerido por la SIF 10 * E - ?
Requerido por la SIF = 10*E-7 / 10*E-1 x 10*E-2 x 10*E-1 x 10*E-1 = 10*E-2
SIL = 10 * E - 2
LOPA Planilla Informe
MARZO 26, 2007
LOPA Datos de Hazop
Informacin requerida por LOPA Impacto del Evento Nivel de Severidad Causa Iniciadora Probabilidad Iniciadora Capas de Proteccin Mitigacin adicional requerida
Informacin suministrada por Hazop Consecuencia Severidad de la Consecuencia Causa Frecuencia de la Causa Salvaguardas existentes Salvaguardas nuevas recomendadas
MARZO 26, 2007
LOPA - Caractersticas
A Favor
Altamente auditable, se asigna un valor a cada etapa Claridad, es relativamente fcil ver como se han obtenido los
resultados
Permite menor dependencia de los juicios cualitativos
En Contra
Fijar el Criterio de Tolerancia al Riesgo puede ser dificultoso Se requieren gran cantidad de datos de entrada Decidir una real independencia es problemtico
MARZO 26, 2007
Factores Clave para la Seleccin del Mtodo para Determinar el SIL
Mtodos de Anlisis de Riesgo existentes en la Empresa Complejidad del Proceso Comprender el Proceso (experiencia y conocimiento) Consistencia en la designacin de los miembros del Equipo
de Diseo
MARZO 26, 2007
Diseo de Hardware
MARZO 26, 2007
Ciclo de Vida del Hardware
MARZO 26, 2007
Hardware Conceptos importantes
Bases para la seleccin:

Energizar vs. Desenergizar Redundancia vs. Diversidad Demanda Baja, Alta o Continua Seleccin de Componentes Tolerancia a Fallas de Hardware Restricciones a la arquitectura Probabilidad de Falla ante una Demanda
MARZO 26, 2007
Energizar vs. Desenergizar
Para que la funcin de seguridad cumpla su cometido debemos

seleccionar el modo de disparo:
Desenergizar para disparo Energizar para disparo
Cul es la diferencia?
Desenergizar para disparar, el sistema, o subsistema, no requiere
de energa para desempear su funcin de seguridad.
Apertura del rel de un presostato para que se pare una bomba. Energizar para disparar, el sistema, o subsistema, requiere de la
presencia de energa para desempear su funcin de seguridad.
Accionamiento de un cilindro de gas CO para apagar un incendio

Redundancia
IEC 61511 la define como el uso de mltiples elementos o

sistemas, para desempear una misma funcin.
La redundancia puede ser implementada por elementos

idnticos (redundancia idntica), o por elementos diversos (redundancia diversa).
Se utiliza, primariamente, para mejorar la confiabilidad o la

disponibilidad.
+
Diversidad
IEC 61511 la define como la existencia de medios diferentes

para desempear una funcin de seguridad.
La diversidad puede llevarse a cabo utilizando diferentes

medios fsicos o diferentes enfoques de diseo.
Es un medio de reducir las fallas de causa comn.
+
Nivel de Integridad de la Seguridad

Tabla 2 Niveles de Integridad de la Seguridad: medidas de falla meta para funciones de seguridad, asignadas a un sistema E/E/PE relacionado con seguridad operando en modo de operacin de baja demanda. IEC 61508
Operacin en modo de baja demanda (Probabilidad promedio de falla para desempear su funcin de diseo ante una demanda) 10-5 to < 10-4 10-4 to < 10-3 10-3 to < 10-2 10-2 to < 10-1
4 3 2 1
Fuente: IEC 61508-1 Ing. Qco. Roberto E. Varela MARZO 26, 2007

Tabla 3 Niveles de Integridad de la Seguridad: medidas de falla meta para
funciones de seguridad, asignadas a un sistema E/E/PE relacionado con seguridad operando en modo de operacin de alta demanda o continuo. IEC 61508
Nivel de Integridad de la Seguridad 4
Modo de operacin de alta demanda o continuo (Probabilidad de falla peligrosa por hora) 10-9 to < 10-8 10-8 to < 10-7 10-7 to < 10-6 10-6 to < 10-5
Fuente: IEC 61508-1 Ing. Qco. Roberto E. Varela MARZO 26, 2007
IEC 61511 cambia la definicin de modo de operacin:

El modo demanda utiliza la Tabla 3: Probabilidad de Falla ante una
Demanda
Para modo continuo se usa la Tabla 4: Frecuencia de fallas

peligrosas
MARZO 26, 2007
Probabilidad de falla ante una demanda

Nivel de Integridad de la Seguridad Meta de probabilidad promedio de falla ante una demanda 10-5 to < 10-4 10-4 to < 10-3 10-3 to < 10-2 10-2 to < 10-1 Meta de reduccin de riesgo >10000 a % 100000 > 1000 a % 10000 > 100 a % 1000 > 10 a % 100
4 3 2 1
MARZO 26, 2007
Frecuencia de fallas peligrosas en la SIF

Nivel de Integridad de la Seguridad 4 Meta de frecuencia de fallas peligrosas para desempear la funcin instrumentada de seguridad (por hora) 10-9 to < 10-8 10-8 to < 10-7 10-7 to < 10-6 10-6 to < 10-5
MARZO 26, 2007
Contribucin al SIL
Sensor 30 %
Logic Solver 15%
Elemento Final 50 % - 55%
No es posible ordenar solamente un SEP SIL 3 y creer que ya se est cumpliendo con los requerimientos de la Norma IEC 61508 IEC 61511
Arquitectura Tolerante a Fallas
Definicin de Tolerancia a Fallas

La tolerancia a fallas del hardware, es la habilidad de un componente o subsistema de continuar estando disponible para desempear la funcin instrumentada de seguridad requerida, en presencia de una o ms fallas peligrosas en el hardware. Una tolerancia a fallas del hardware igual a 1 significa que hay, por ejemplo, dos dispositivos y la arquitectura es tal que, la falla de uno de los dos componentes o subsistemas, no impedir la ocurrencia de la accin segura. Tolerancia a Fallas N, significa que son necesarias N + 1 fallas para que la funcin de seguridad quede inhibida.
MARZO 26, 2007
Es importante notar que los requerimientos de tolerancia a

fallas del hardware representan la redundancia mnima de componentes o subsistemas.
Dependiendo de la aplicacin, la tasa de fallas del

componente o subsistema y el intervalo de prueba, puede requerirse redundancia adicional para satisfacer el nivel SIL de la SIF.
MARZO 26, 2007
La Tolerancia a Fallas depende enteramente de la

redundancia de componentes
La Redundancia facilita la ejecucin de las fases Redundancia significa necesariamente replicar n veces los
componentes
La Redundancia se aplica a cualquier nivel

Entrada Salida
Entrada
Salida
MARZO 26, 2007
IEC 61508 - Subsistemas Tipo A
Un subsistema es clasificado Tipo A si: Los modos de falla estn bien definidos. El comportamiento de la falla puede ser determinado
completamente.
Est disponible suficientes datos de falla.
MARZO 26, 2007
IEC 61508 Restricciones en Arquitectura
Tabla 2 Integridad de seguridad del hardware: restricciones en la

arquitectura de subsistemas relacionados con seguridad Tipo A
Fraccin de falla segura 0 < 60 % 60 % - < 90 % 90 % - < 99 % > 99 %
Tolerancia a Fallas del hardware
1 SIL2 SIL3 SIL4 SIL4
SIL1 SIL2 SIL3 SIL3
MARZO 26, 2007
IEC 61508 - Subsistemas Tipo B
Un subsistema es clasificado Tipo B si: Uno o ms modos de falla no estn bien definidos. El comportamiento de la falla no puede ser determinado
completamente.
No estn disponibles suficientes datos de falla. Si el componente incluye circuitos integrados, se puede
asegurar 99.9% que es un subsistema tipo B.
MARZO 26, 2007
Tabla 3 Integridad de seguridad del hardware: restricciones en la

arquitectura de subsistemas relacionados con seguridad Tipo B Fraccin de falla segura Tolerancia a Fallas del hardware
0 < 60 % 60 % - < 90 % 90 % - < 99 % > 99 % No permitido SIL1 SIL2 SIL3
MARZO 26, 2007
Tabla 5 Hardware mnimo para Tolerancia a Fallas de procesadores

lgicos EP
MARZO 26, 2007
Tabla 6 Hardware mnimo para Tolerancia a Fallas de sensores y

elementos finales y procesadores lgicos no EP
MARZO 26, 2007
Reduccin de Tolerancia a Fallas de Hardware
La Norma IEC 61511 establece que se puede reducir el

requerimiento de tolerancia a fallas de hardware en 1 si:
El dispositivo de hardware ha sido elegido considerando Uso

Previo.
Solamente pueden ajustarse parmetros relacionados con el

proceso.
El ajuste de los parmetros de proceso est protegido. El SIL es menor que 4.
MARZO 26, 2007
Incremento de Tolerancia a Fallas de Hardware
La Norma IEC 61511 establece que se debe incrementar el

requerimiento de tolerancia a fallas de hardware en 1 si:
La falla dominante no es el estado seguro. Fallas peligrosas no han sido detectadas.
MARZO 26, 2007
Ejemplo Restricciones Tolerancia a Fallas
Grado de Tolerancia a Fallas Peligrosa

Tolerancia a Fallas Peligrosa minima Uso Previo (S) Seguro ante Fallas (S) Requerimiento de TF del subsistema 2 (SIL3) -1 0 1
MARZO 26, 2007
Probabilidad de Falla ante una Demanda - PFD
PFD, qu es? Es una medida de la integridad de la seguridad de una SIF. Es un valor que indica la probabilidad de que un sistema falle
en respuesta a una demanda, es incapaz de desempear la funcin de seguridad. La probabilidad promedio de un sistema que falla en respuesta a una demanda en un intervalo de tiempo especificado, se la denomina PFDavg.
PFD es igual a 1 menos la Disponibilidad de Seguridad. Se la

reconoce tambin como Indisponibilidad de la Seguridad.
PFD = f (failure rate, repair rate, test interval, common cause, etc.)
MARZO 26, 2007
Probabilidad de Falla ante una Demanda
El PFD de los sistemas puede ser determinado a partir de

datos histricos. Cuando estos no estn disponibles, puede obtenerse una evaluacin sistemtica del desempeo de un sistema utilizando tcnicas de anlisis de PFD.
Las tcnicas de anlisis de PFD emplean metodologas

sistemticas que descomponen un sistema complejo en sus componentes bsicos. El desempeo e interacciones de estos componentes bsicos se fusionan en modelos de confiabilidad para determinar la disponibilidad general del sistema de seguridad.
MARZO 26, 2007
Probabilidad de Falla Segura
Para las SIF tambin se especifica una tasa de falla segura

aceptable. Esta tasa tambin es comnmente conocida como tasa de disparo falso o tasa de disparo espurio. La tasa de disparo espurio es incluida en la evaluacin de la SIF porque, tanto la puesta en marcha como la parada del proceso, son los perodos donde las chances de ocurrencia de un evento peligrosos son altas. Entonces, en muchos casos, la reduccin de la tasa de disparos falsos se expresa tpicamente como el tiempo medio para disparo falso o MTTFspurious.
MARZO 26, 2007
Determinacin de PFD
Para el clculo de PFD estn disponibles distintos mtodos de

modelado o anlisis de confiabilidad. El mtodo ms apropiado es una decisin del analista y depender de las circunstancias.
Entre los mtodos disponibles (ver IEC 61508 6, Anexo B), se

incluyen:
Anlisis Causa - Consecuencia Anlisis rbol de Fallas Diagramas en bloque de confiabilidad Ecuaciones simplificadas Modelos de Markov
MARZO 26, 2007
Anlisis rbol de Fallas
Es un modelo grfico de los caminos dentro de un sistema que

pueden conducir a un evento peligroso predecible y no deseable. Los caminos interconectan eventos contribuyentes y condiciones, utilizando smbolos lgicos estndar. Las probabilidades numricas de ocurrencia pueden ser entradas y propagadas a travs del modelo para evaluar la probabilidad del evento peligroso predecible y no deseable.
MARZO 26, 2007
Los casos en que mejor se aplica son: Amenazas percibidas de grandes prdidas, alto riesgo. Numerosos contribuyentes potenciales a un percance. Sistemas o procesos con mltiples elementos o
complejos.
Eventos no deseables ya identificados. Causas de percances indiscernibles.
MARZO 26, 2007
FTA es generalmente un procesos iterativo que envuelve el

modelado de una SIF para determinar el PFD y las modificaciones necesarias de la SIF para alcanzar el PFD meta.
El Anlisis rbol de Fallas puede describirse en 5 pasos

esenciales:
1. Descripcin de la SIF e Informacin de aplicacin. 2. Identificacin del evento tope. 3. Construccin del diagrama FTA. 4. Examen cualitativo de la estructura del rbol de fallas. 5. Evaluacin cuantitativa del rbol de fallas.
MARZO 26, 2007
Anlisis rbol de Fallas - Resultados
Descripcin grfica de la cadena de eventos/condiciones que

conducen al evento tope.
Identificacin de los potenciales contribuyentes a fallas que son

crticas.
Mejor comprensin de las caractersticas del sistema. Penetracin cualitativa/cuantitativa de la probabilidad de

ocurrencia del evento seleccionado para el anlisis.
Identificacin de los recursos comprometidos para prevenir la falla. Gua para el redespliegue de los recursos para optimizar el control
de riesgos.
Documentacin analtica de los resultados.

Diagrama de bloques de confiabilidad
El diagrama en bloques de confiabilidad puede ser pensado

como un diagrama de flujo que va desde la entrada hasta la salida del sistema. Cada elemento del sistema es un bloque del diagrama y los bloques se colocan en relacin con la arquitectura del SIS, para indicar que el camino desde la entrada hasta la salida se rompe si uno o ms de los elementos falla.
MARZO 26, 2007
Diagrama de bloques de confiabilidad
MARZO 26, 2007
Modelos de Markov
El principio bsico del Anlisis de Markov es que un

sistema puede existir en diferentes estados.
Cada estado es definido por una falla interna del sistema.

Usualmente, estas fallas internas estn combinadas hasta un nivel que se llama estados del sistema.
Estos estados estn guiados por la disponibilidad de datos,

por ejemplo, puede haber datos disponibles en el nivel placas de circuito impreso, pero tambin puede estar disponible en el nivel de transistores.
MARZO 26, 2007
Modelos de Markov
Independientemente del nivel de detalle, el sistema puede

estar en los siguientes estados:
Sistema totalmente operacional Sistema parcialmente fallado (degradado), pero

todava cumple con su funcin.
Sistema totalmente fallado.
MARZO 26, 2007
Modelos de Markov
El Modelo de Markov es una buena herramienta para el anlisis de

confiabilidad de los sistemas EP debido a que el mtodo es flexible y brinda un modelo realista. El modelo puede incluir, entre otros:
Fallas de causa comn Mltiples fallas Diferentes tiempos de reparacin Tasas de falla variables El modelo de Markov es un diagrama de estados con crculos y flechas. Los
crculos representan los estados del componente (operacional o fallado), las flechas muestran la direccin de las transiciones entre los estados (fallado o reparacin), por lo que las flechas son arcos de direccin. Las tasas de falla o reparacin representadas por las flechas con valores numricos. Un modelo simple es el siguiente:
MARZO 26, 2007
SEP - Modelo de Markov
Modelo de Markov para un sistema 1oo1 que muestra los efectos de

los distintos tipos de falla
MARZO 26, 2007
Ecuaciones Simplificadas
La evaluacin de un SIS, o de una porcin de SIS, envuelve la

estimacin del PFDavg y del tiempo medio para un disparo falso o MTTFspurious de una SIF simple.
Ambos factores pueden son importantes en la seleccin final y

diseo del SIS.
El PFDavg se determina calculando el PFD de todos los

componentes de cada SIF que provee proteccin contra eventos peligrosos del proceso y combinando estos valores individuales se obtiene el valor de PFD de la SIF. Este valor se expresa con la siguiente frmula:
MARZO 26, 2007
Procedimiento para la determinacin del PFDavg de los sensores:
1. Identificar cada uno de los sensores que detectan las condiciones fuera de lmite y
que podran conducir al evento contra el cual protege la SIF. Slo aquellos sensores que previenen o mitigan el evento designado son incluidos en los clculos de PFD.
2. Liste la MTTFDU para cada sensor. 3. Calcule el PFD para cada configuracin de sensor utilizando el MTTFDU y las
ecuaciones en IEC 61508 Parte 6 con las consideraciones de redundancia que correspondan.
4. Sume los valores de PFD de los sensores para obtener el componente PFDS de la
SIF que est siendo evaluada. Este paso slo se requiere si la SIF incluye entradas de mltiples sensores.
El componente PFD avg de la SIF correspondiente a los sensores combinados es:
MARZO 26, 2007
Procedimiento para la determinacin del PFDavg para los elementos finales:
1. Identificar cada elemento final que protege contra las condiciones fuera de
lmites que pueden conducir al evento peligroso contra el cual nos protege la SIF. Slo aquellos elementos finales que previenen o mitigan el evento designado son incluidos en los clculos de PFD.
2. Liste la MTTFDU para cada elemento final. 3. Calcule el PFD para cada configuracin de elemento final utilizando el MTTFDU
y las ecuaciones en IEC 61508 Parte 6 con las consideraciones de redundancia que correspondan.
4. Sume los valores de PFD de los elementos finales para obtener el componente
PFDA de la SIF que est siendo evaluada. Este paso slo se requiere si la SIF incluye mltiples elementos finales.
El componente PFDavg de la SIF correspondiente a los elementos finales

combinados es:
MARZO 26, 2007
Procedimiento para la determinacin del PFDavg para el procesador lgico es: Nota. Puede ser provisto un slo procesador lgico para mltiples SIF.
1. Identificar el tipo de hardware del Procesador lgico utilizado. 2. Seleccionar el MTTFDU para el procesador lgico (tpicamente se obtiene del
fabricante del procesador lgico).
Nota. Puesto que el PFDavg del procesador lgico es una funcin no lineal, el
usuario debera solicitar el MTTFDU para un nmero de intervalos de prueba funcional y utilizar aquellos que se ajusten a los requerimientos del sistema.
3. Calcular el PFDavg para la porcin del procesador lgico asociado a la SIF

utilizando las ecuaciones de IEC 61508 Parte 6 con las consideraciones de redundancia apropiadas. Nota. Este paso slo se requiere cuando el fabricante no suministra el PFDavg para el sistema procesador lgico totalmente integrado)
MARZO 26, 2007
Procedimiento para determinar el PFDavg de la fuente de alimentacin:
Si el SIS est diseado para desenergizar para disparo, la fuente de

alimentacin no tiene impacto sobre el PFDavg de la SIF debido a que una falla de la fuente de alimentacin resultar en una accin que llevara al proceso a un estado seguro. Si el SIS est diseado para energizar para disparo, el PFDavg de la fuente de alimentacin se determina as:
1. Liste el MTTFDU para cada fuente de alimentacin del SIS. Calcule el PFDavg para la fuente de alimentacin utilizando las frmulas de
IEC 61508 Parte 6 con las consideraciones de redundancia apropiadas.
MARZO 26, 2007
Las ecuaciones simplificadas sin los trminos que incluyen mltiples fallas
durante la reparacin, fallas de causa comn y errores sistemticos son las siguientes:
MARZO 26, 2007
Datos requeridos para confiabilidad
Los modelos de confiabilidad nos permiten conocer el

comportamiento de los sistemas de seguridad ante la presencia de fallas. Para realizar los clculos necesitamos los siguientes datos:
Tasa de Falla Total Porcentaje de fallas seguras Cobertura de diagnstico fallas peligrosas Cobertura de diagnstico fallas seguras Tiempo de reparacin Intervalo de prueba de funcionamiento.
MARZO 26, 2007
Cmo se obtienen los datos
Debemos realizar un estudio de confiabilidad para la

obtencin de datos, especialmente de productos nuevos, incluyendo hardware electrnico, hardware mecnico y hardware electro-mecnico.
El anlisis tpico es el FMEA: Anlisis de Modo y Efectos

de Falla
MARZO 26, 2007
Medidas de Control de Fallas
Las fallas en los SIS, de acuerdo al momento en que se

presentan, pueden clasificarse en
Fallas que se originan antes o durante la instalacin del sistema

(fallas de software especificacin y programacin - fallas de hardware fabricacin o incorrecta especificacin.
Fallas debidas a error humano que se originan despus de la

instalacin del sistema (fallas aleatorias de hardware, fallas por uso incorrecto).
MARZO 26, 2007
La Norma IEC 61508 propone una serie de medidas para

evitar o controlar esas fallas.
En la IEC 61508 Parte 2, el Anexo A est dedicado a

medidas de control de fallas durante la operacin.
En la IEC 61508 Parte 2, el Anexo B est dedicado a

medidas para evitar fallas durante las distintas fases del ciclo de vida de seguridad.
MARZO 26, 2007
Medidas de Control de Fallas Table A.4 Processing units

Diagnostic technique/measure See IEC 615087 A.1.3 A.1.4 A.3.1 A.3.2 A.3.3 A.3.4 A.3.5 Maximum diagnostic coverage considered achievable high high low medium medium high high depends on the quality of the comparison Notes
Comparator Majority voter Self-test by software: limited number of patterns (one channel) Self-test by software: walking bit (one-channel) Self-test supported by hardware (one-channel) Coded processing (one-channel) Reciprocal comparison by software
depends on the quality of the comparison depends on the quality of the voting
MARZO 26, 2007
Table A.18 Techniques and measures to control systematic operational failures

Technique/measure Modification protection Failure detection by on-line monitoring (see note 4) Input acknowledgement Failure assertion programming See IEC 61508-7 B.4.8 A.1.1 SIL1 HR mandatory R low R low SIL2 HR mandatory R low R low SIL3 HR mandatory R medium R medium SIL4 HR mandatory R high R high
B.4.9 C.3.3
See table A.2 of IEC 61508-3
MARZO 26, 2007
Medidas Para Evitar Fallas
Table B.3 Recommendations to avoid faults during E/E/PES integration

Technique/measure
See IEC 61508-7 B.5.1 B.1.1 B.1.2 B.5.2 B.5.4 B.5.3 SIL1 SIL2 SIL3 SIL4
Functional testing Project management Documentation Black-box testing Field experience Statistical testing
HR mandatory HR low HR low R low R low low
HR mandatory HR low HR low R low R low low
HR mandatory HR medium HR medium R medium R medium R medium
HR mandatory HR high HR high R high R high R high
MARZO 26, 2007
Diseo de Software
MARZO 26, 2007
Ciclo de Vida de Software
MARZO 26, 2007
Relacin Hardware vs. Software
Alcance de
E/E/PES SRS E/E/PES Arquitectura
Parte 2
Hardware requerimientos de seguridad
Alcance de Parte 3
Software Requerimientos de seguridad
Hardware Electrnico Programable
Hardware No-programable
Software Diseo Y Desarrollo
Diseo y Desarrollo Hardware Electrnica Programable
Diseo y Desarrollo Hardware No-Programable
Integracin de PE (Hardware y software)
E/E/PES Integracin
MARZO 26, 2007
Prueba de Software
Durante el diseo del software de aplicacin se lo somete a diferentes

pruebas con el propsito de eliminar errores que despus inhiban al sistema de responder a una demanda.
Las diferentes cuestiones que deben responderse son, al menos: La especificacin es correcta? El programa desarrollado es correcto? Las pruebas realizadas son correctas? La prueba del software se realiza para tener un software seguro, es decir
un software que permita al sistema de seguridad ejecutar las funciones de seguridad an bajo condiciones de falla.
MARZO 26, 2007
Prueba de Software
Un software seguro se logra utilizando: Buenas prcticas de ingeniera e implementando un sistema de

aseguramiento de la calidad.
Utilizando un ciclo de vida para el desarrollo. Con una seleccin apropiada de medidas para evitar fallas. Por
ejemplo, seguir las recomendaciones de las tablas A y B de la IEC 61508 Parte 3.
MARZO 26, 2007
Modelo V
E/E/PES E/E/PES Especificacin Especificacin Requerimientos Requerimientos deSeguridad Seguridad de Software Software Especificacin Especificacin Requerimientos Requerimientos deSeguridad Seguridad de Validacin
Pruebade de Prueba Validacin Validacin
Software Validado
E/E/PES Arquitectura
Software Arquitectura
Test de Integracin del Software de Aplicacin Test Software Aplicacin Prueba Mdulo
Software Desarrollo. Desarrollo Mdulo Aplicacin Entrega Entrega Verificacin Verificacin Desarrollo y Prueba Cdigo
MARZO 26, 2007
Modelo V
La interpretacin del Modelo V es la siguiente: Los elementos de la izquierda representan especificaciones,

diseo y cdigos.
Los elementos de la derecha representan las distintas fases de

pruebas y verificaciones.
Se requiere que haya realimentacin entre las fases. El diseo y las pruebas estn asociadas a travs de las
actividades de verificacin.
MARZO 26, 2007
ARQUITECTURA de SIS
MARZO 26, 2007
Arquitectura de SIS
TOLERANTE A FALLAS (FAULT TOLERANT)
MARZO 26, 2007
Configuraciones Tolerantes a Fallas
SIS-LS con CPU doble y mdulos de E/S dobles SIS-LS con CPU triple y mdulos de E/S dobles o triples. SIS-LS TMR
MARZO 26, 2007
CPU doble y mdulos de E/S dobles
Esquemtico lgica de parada 2oo2
MARZO 26, 2007
Esquemtico lgica de parada 1oo2
MARZO 26, 2007

Ejemplo 1oo2D Siemens Quadlog
MARZO 26, 2007
Ejemplo 1oo2D Yokogawa ProSafe-RS
MARZO 26, 2007
CPU triple y mdulos de E/S triples
Ejemplo 2oo3 TMR GE Fanuc
MARZO 26, 2007
TMR Modular Triple Redundante

Esquemtico 2oo3D SIFT TMR Triconex
MARZO 26, 2007
TMR Modular Triple Redundante

Esquemtico 2oo3D HIFT TMR Triplex
MARZO 26, 2007
Redundancia Modular Cudruple

Ejemplo 2oo4D QMR Honeywell Safety Manager
MARZO 26, 2007
Arquitecturas
SEGURO ANTE FALLAS (FAIL-SAFE)
Arquitecturas Seguras ante Fallas
SIS-LS con CPU doble y mdulos E/S simples SIS-LS con CPU doble y mdulos E/S simples con
diagnstico
MARZO 26, 2007
CPU doble y mdulos E/S simples
Esquemtico 1oo1D Yokogawa ProSafe-RS
MARZO 26, 2007
CPU simple y mdulos E/S simples
Ejemplo 1oo1D Siemens Quadlog
MARZO 26, 2007
CPU doble y mdulos E/S simples
Ejemplo 1oo2D DMR Honeywell Safety Manager
MARZO 26, 2007
Accin ante Falla
MARZO 26, 2007
Operacin y Mantenimiento
MARZO 26, 2007
SIS Criterios de Operacin
IEC 61511 contiene requerimientos relativos a operacin,

incluyendo planificacin, procedimientos y entrenamiento de operadores.
Por ejemplo, el operador debe estar entrenado en:

Funcin del SIS: valor de disparo y acciones Peligros que el SIS est tratando de prevenir Operacin de by-pass y cuando utilizarlos Medidas de compensacin cuando el SIS est en by-pass Respuesta del operador a alarmas de diagnsticos Cuando y como el operador debe operar en manual
MARZO 26, 2007
SIS Criterios de Mantenimiento
Tambin incluye que debe hacerse cuando el SIS falla y como

documentar el test y reparacin de los dispositivos del SIS. Acciones de rutina para mantener la seguridad funcional Acciones para evitar situaciones peligrosas Procedimientos ante fallas o faltas Cuando se necesita un by-pass para test o mantenimiento Procedimientos para test prueba de funcionamiento Entrenamiento del personal Sistema de registro de mantenimiento
Fallas seguras y peligrosas, reparaciones y causas raz
MARZO 26, 2007
SIS Criterios de Mantenimiento
Si hay ms demandas que las asumidas en el diseo,

debe revisarse el anlisis de peligros y la evaluacin de riesgos a fin de determinar si es necesario revisar el SIL seleccionado como meta
Si los dispositivos del SIS tienen una tasa de falla mayor

que la utilizada en los clculos de diseo, debe hacerse una revaluacin del PFD avg en base a los nuevos datos y deben implementarse modificaciones al SIS si es necesario.
MARZO 26, 2007
SIS - Test de Sistemas
En las Normas IEC 61508 e IEC 61511 hay requerimientos bien

claros para realizar pruebas de funcionamiento (tests), que incluyen a todos los componentes del SIS El test de los sistemas se efecta por una sola y nica razn, PARA DESCUBRIR LAS FALLAS ENCUBIERTAS! El test no previene la ocurrencia de disparos falsos. Ud. puede testear su sistema hoy, pero puede fallar maana Lo que no est claramente explicado es la metodologa para un ptimo test de cada dispositivo que forma parte de la funcin instrumentada de seguridad Cada SIS ser inspeccionado visualmente en forma peridica para asegurar que no haya cambios no autorizados y no se observan deterioros fsicos.
MARZO 26, 2007
SIS - Test de Sistemas
Programa de Testeo
Debe incluir los siguientes objetivos
1. Procedimientos escritos para asegurar que los tests se realizan en forma segura y no generan un aparada inadvertida 2. La frecuencia estar determinada para asegurar la confiabilidad del sistema de seguridad. Tests muy frecuentes generan costos innecesarios, pocos tests pueden resultar en un incidente peligroso 3. Las aplicaciones que requieran test en lnea tendrn el diseo apropiado incluyendo by-pass, para asegurar el punto 1 4. Tests fuera de lnea son fciles de manejar pero tienen los mismos requerimientos de documentacin y frecuencia que los que se realizan en lnea 5. Todo el programa de testeo debe ser revisado anualmente para determinar si la frecuencia es adecuada y/o se necesita realizar modificaciones
MARZO 26, 2007
Instalacin y Comisionado
MARZO 26, 2007
Instalacin y Prueba Mecnica
Todo el equipamiento debe instalarse segn planes

de diseo e instalacin Cualquier modificacin requiere el retorno a la fase apropiada del ciclo de vida Las actividades de prueba mecnica incluyen: Equipos y cableado instalados correctamente Fuentes de energa operacionales Todos los instrumentos estn calibrados Sensores y actuadores operacionales Procesador lgico y E/S operacionales No hay daos fsicos visibles Previo a la puesta en marcha debe realizarse un verificacin funcional o test de aceptacin (SAT)
MARZO 26, 2007
Validacin
MARZO 26, 2007
Validacin
Mediante el proceso de Validacin lo que hacemos es verificar que

hemos instalado el sistema adecuado.
Validamos lo especificado, en base a la especificacin de

Requerimientos de Seguridad.
Plan de Validacin Pruebas en Fbrica (FAT) y en el Sitio (SAT)
MARZO 26, 2007
Administracin del Cambio (MOC)
Requerida para:
Modificaciones de procedimientos operativos Modificaciones al proceso Modificaciones al software MOC debe contener Bases tcnicas para los cambios propuestos Impacto sobre la salud y el ambiente Procedimientos para la Autorizacin Revisin de los cambios requeridos Personal afectado debe ser notificado Los cambios deben realizarse a partir de la fase del ciclo de vida apropiada
MARZO 26, 2007
Administracin del Cambio (MOC)
Las modificaciones al sistema deben ser ejecutadas siguiendo las

mismas estrictas reglas que fueron utilizadas para el diseo original del SIS. El procedimiento a seguir es el siguiente:
Desempeo del sistema por debajo de metas Fallas Sistemticas Incidentes / Accidentes Solicitud OP / MANT Solicitud de Modificacin Cambios en legislacin Modificaciones en EBC Cambios en SRS
Estudio Anlisis de Impacto Informe Anlisis de Impacto A Fase apropiada del Ciclo de Vida
HAZOP
Autorizacin
Desinstalacin
Realice una revisin previa apropiada

antes de poner fuera de servicio al SIS
Asegrese que otras unidades de proceso

no estarn afectadas
Requiere de un plan de Administracin

para el Cambio debidamente autorizado
Aplicacin de los pasos del Ciclo de Vida,

incluyendo Evaluacin de Riesgos
MARZO 26, 2007
Certificacin
MARZO 26, 2007
Certificacin
Organizaciones como TV Rheinland y TV Product Service, entre

otras, realizan la certificacin de sistemas para uso en aplicaciones de seguridad, en un todo de acuerdo a las normas de seguridad publicadas por IEC, DIN, etc.
Estas entidades no escriben normas, solo certifican equipos segn

la norma que se seleccione. Todas pueden realizar evaluaciones simultneas de productos segn normas IEC, DIN y ANSI/ISA, determinando los niveles AK y SIL. Por ejemplo, TV Rheinland certific durante muchos aos equipamiento de control para ser utilizado en seguridad, utilizando las normas alemanas DIN V 19250/05.94 DIN V VDE 0801/01.90 with amendment A1: 1994-10
MARZO 26, 2007
Certificacin
Los certificados expedidos por TV le aseguran al usuario final que los

componentes y/o subsistemas certificados fueron evaluados por una agencia de aprobacin independiente, respecto de los requerimientos expresados en las normas de aplicacin.
El conjunto de normas utilizados para la certificacin consta en el

certificado expedido.
El certificado muestra, tambin, que los componentes o subsistemas

pueden se utilizados en aplicaciones especficas de acuerdo a la Clase de Requerimiento (RC) o al Nivel de Integridad (SIL)
El usuario final debe estar en conocimiento de cmo utilizar el

componente o subsistema en funciones relacionadas con seguridad. Debido a las distintas posibilidades existentes para configurar un sistema e seguridad dado, el usuario final debe obtener la informacin correspondiente de parte del fabricante del sistema.
MARZO 26, 2007
Certificacin Probado en Uso IEC 61508 - 2
Un subsistema desarrollado previamente, ser visto como probado en

uso cuando haya evidencia documental adecuada basada en el uso previo de una configuracin especfica del subsistema (durante el tiempo de uso se han registrado formalmente todas las fallas y toma en consideracin cualquier anlisis o test adicional, segn se requiera).
La evidencia documental demostrar que la probabilidad de cualquier falla

de un subsistema (debido a fallas aleatorias de hardware y sistemticas) de un sistema E/E/PE relacionado con seguridad, es lo suficientemente baja de manera tal que el nivel de integridad de la seguridad requerido para la funcin de seguridad que utiliza el sistema, es alcanzado.
MARZO 26, 2007
La evidencia documental demostrar que las condiciones previas

de uso de un subsistema especfico son las mismas que, o lo suficientemente cerca de, aquellas que sern experimentadas por el subsistema como parte de un sistema E/E/PE relacionado con seguridad, en orden de poder determinar que la probabilidad de una falla sistemtica no revelada es tan baja, que el nivel de integridad de la seguridad de la funcin de seguridad que utiliza el subsistema es alcanzado.
MARZO 26, 2007
De acuerdo a antecedentes existentes deben cumplirse los siguientes

puntos:
Especificacin sin cambios; 10 sistemas operando en diferentes aplicaciones; 10*E5 horas de operacin y por lo menos un ao de historia de servicio.
La experiencia de campo es demostrada por la documentacin suministrada

por el proveedor y/o fabricante u operador. La documentacin incluir como mnimo:
La designacin exacta del sistema y sus componentes, incluyendo Versin de control del hardware; Usuarios y tiempo de aplicacin; Horas de operacin; Los procedimientos para la seleccin de los sistemas y aplicaciones en los que se
llevan a cabo las pruebas;
Registro de deteccin y remocin de fallas.

Certificacin Uso Previo IEC 61511 - 1
Requerimientos para la seleccin de componentes y subsistemas en base a

uso previo:
Evidencia apropiada deber estar disponible demostrando que los componentes y

subsistemas son adecuados para uso en un SIS.
NOTA 1 En el caso de elementos de campo, hay gran experiencia operativa tanto en

aplicaciones de seguridad u otras. Esta informacin puede ser utilizada como base para la evidencia.
NOTA 2 El nivel de detalle de la evidencia debera estar de acuerdo con la

complejidad del componente o subsistema considerado y con la probabilidad de falla necesaria para alcanzar el nivel de integridad de la seguridad de la funcin instrumentada de seguridad.
La evidencia de adecuacin incluir lo siguiente:

Consideracin de la calidad del fabricante, su administracin y del sistema de gestin
de la configuracin
Adecuada identificacin y especificacin de los componentes o subsistemas El volumen de experiencia operativa

Certificacin Uso Previo IEC 61511 - 1
Requerimientos para la seleccin de componentes y subsistemas

programables FPL (por ejemplo, dispositivos de campo) en base a uso previo

programables LVL (por ejemplo, procesadores lgicos) en base a uso previo

programables FVL (por ejemplo, procesadores lgicos)
MARZO 26, 2007
Certificacin Cumplimiento de Normas IEC 61508/IEC 61511
El cumplimiento de los requerimientos de la norma y la certificacin de una

entidad independiente facilita el diseo del sistema y lo hace ms econmico
Los certificados de terceros no son garanta de que los productos pueden ser
utilizados en todas las aplicaciones de seguridad. En el reporte del Certificador o en el manual de Seguridad del fabricante deben estar listadas las restricciones de uso.
El subsistema cumple con los requerimientos cualitativos correspondientes al

nivel de integridad de la seguridad de la funcin instrumentada de seguridad
Procedimientos para el desarrollo del diseo han sido escritos y son seguidos. Los requerimientos tcnicos de la norma estn implementados en el subsistema. El subsistema tiene definida una probabilidad de falla ante una demanda mxima
(PFDAVG) para la funcin de seguridad.
MARZO 26, 2007
Certificacin
Para ms informacin sobre los sistemas certificados por

TV, consultar en
http://www.tuv-fs.com/index.htm http://www.tuvasi.com
MARZO 26, 2007
Sumario Seleccin de SIS
MARZO 26, 2007
Recomendaciones para Usuarios
1. Adopte IEC 61511 2. Anlisis de Peligros y Evaluacin de Riesgos en Proceso para decidir cul es el mejor mtodo para proteger su planta 3. Adicione capas de proteccin no-SIS en lo posible 4. En base a la Evaluacin de riesgos seleccione el SIS certificado, por un ente confiable, que mejor cumpla sus necesidades 5. Elija el SIS que mejor se integre con sus sistema de control, pero manteniendo el grado de separacin requerido por las normas. 6. Elija el sistema que provea una solucin de seguridad integrada desde el sensor hasta la vlvula de control. 7. Monitoreo continuo del equipamiento de campo y tests peridicos
Recomendaciones para Usuarios
8.
Seleccione un sistema que maximice la seguridad a la vez que maximice, simultneamente, la disponibilidad, a travs de tests automticos y diagnsticos extensos. Disee seguridad dentro del proceso
9.
10. Asegrese que el diseo conceptual cumple con los requerimientos de desempeo 11. Documente todos los procedimientos 12. Solicite a su proveedor el Manual de Seguridad que incluye las restricciones de uso 13. Siga los procedimientos para la Administracin de Cambios
MARZO 26, 2007
Bibliografa
MARZO 26, 2007
Bibliografa
IEC 61508 Parts 1 to 7 - (1999-05) Functional safety of electrical/electronic/programmable electronic safetyrelated systems.
IEC 61511 Parts 1 to 3 - Edition 1.0 (2003 12) Functional Safety Safety Instrumented Systems for the
process industry sector
Safety Instrumented Systems: Design, Analysis, and Justification - ISA publication, 2nd Edition, 2004
Paul Gruhn, P.E., CFSE and Harry L. Cheddie, P.Eng., CFSE
Anlisis y reduccin de riesgos en la industria qumica - J. M. Santamara y P.A. Braa. Ediciones Fundacin
MAPFRE, Espaa, 1994
Are your instrumented safety systems up to standard? - Kimberly A. Ford and Angela E. Summers, Ph.D, SisTech Solutions.
Dual vs. Triple - Paul Gruhn, Siemens Energy & Automation, May 2000 Separation control and safety - William M. Goble, Vol. 79 No. 8 Automation Safety, August 2000 Fail safe or fault tolerant? - Russell Cockman, September 2000 2oo4D: Nueva generacin de sistemas de seguridad Honeywell S.A.I.C., Revista Instrumentacin y Control
Automtico, Nmero 109, Buenos Aires, Argentina.
Sistemas Instrumentados de Seguridad Evolucin, diseo y aplicacin Ing. Qco. Roberto E. Varela
Editoral Soluciones en Control . Buenos Aires 2003
MARZO 26, 2007
It should not be necessary for each generation to rediscover principles of process safety which the generation before discovered. We must learn from the experience of others rather than learn the hard way. We must pass on to the next generation a record of what we have learned. Jesse C. Ducommun - Safety Pioneer
Amoco Oil Vice-president of Manufacturing 1955
MARZO 26, 2007
MARZO 26, 2007

Apunte

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Apunte

Cargado por

Copyright:

Formatos disponibles

Introduccin a la Seguridad Funcional

Ing. Qco. Roberto E. Varela

Por informacin adicional dirigirse a:

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

La informacin contenida en el curso consiste en conceptos fundamentales de

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Se pueden desempear las funciones de seguridad de un SIS

Cmo afectan las normas vigentes el diseo, instalacin y

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Cmo se evala un SIS? Cmo afectan la disponibilidad y la seguridad de mi SIS los

Introduccin a la Seguridad Funcional

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Sumario de Accidentes Relevantes

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Sumario de Accidentes Relevantes

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Grandes cambios en la industria en los ltimos 60 aos

Accidentes Industriales Mayores

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Accidentes - Causas ms comunes

MARZO 26, 2007

Ocasionalmente, los accidentes mayores ocurren durante el

Nuevas industrias han comenzado a operar utilizando nuevos

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Accidentes - Fallas debidas a causas comunes

Generalmente, un evento o condicin puede llevar a un cierto nmero de fallas

La ms peligrosas de las fallas con causa comn son de naturaleza

Consecuencias de largo plazo

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Porqu fallan los Sistemas de Control o de Seguridad?

Fuente: HSE UK - 1987

Ing. Qco. Roberto E. Varela

Accidentes Mayores - Lecciones

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Sumario de Accidentes Relevantes

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Respuesta Gubernamental y Privada

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Ing. Qco. Roberto E. Varela

MARZO 26, 2007

Normas y Prcticas Recomendadas

ANSI/ISA 84.01 Application of Safety Instrumented Systems for

AIChE CCPS Guidelines for Safe Automation of Chemical