Está en la página 1de 86

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

CAPAS DE SEGURIDAD

Sistemas Instrumentados de Seguridad

Tema: capas de seguridad

CAPAS DE SEGURIDAD
ndice
1. 2.
2.1. 2.2. 2.3. 2.4.

CAPAS DE SEGURIDAD:INTRODUCCION CAPAS DE PREVENCION


Diseo de Planta Sistemas de Control de Procesos Sistemas de Alarmas Sistemas Instrumentados de Seguridad

3 4
4 5 6 7

3.
3.1. 3.2. 3.3.

CAPAS DE MITIGACION
Sistemas de Fuego y Gas Sistemas de Contencion Planes de Emergencia

7
7 8 8

Curso U.Santiago

Pgina 2

Sistemas Instrumentados de Seguridad

Tema: capas de seguridad

1. CAPAS DE SEGURIDAD:INTRODUCCION
Los accidentes industriales raramente suceden por una sola causa. Lo normal es que sean consecuencia de una combinacin de eventos poco comunes que se piensa son independientes y que no deberan suceder al mismo tiempo. Tomar, como ejemplo, el peor accidente qumico ocurrido hasta la fecha que tuvo lugar en Bhopal (INDIA) en una planta de pesticidas. Unas 3000 personas murieron de inmediato y al menos 12500 fallecieron en las semanas posteriores por inhalar gas y beber agua contaminada. Desde entonces se estima que unas 25000 personas han perdido la vida por las secuelas y unos 150000 estn afectados de alguna manera. El material que fugo en dicha planta fue isocionato de metilo (MIC).Dicha fuga (del orden de 40 toneladas) se produjo en un tanque de almacenamiento que contena ms cantidad de lo que establecan los procedimientos de seguridad de la compaa. Los procedimientos de operacin establecan asimismo usar un sistema de refrigeracin para mantener la temperatura en el producto de dicho tanque en 5C disponiendo de una alarma cuando la temperatura subiese de 11C. El sistema de refrigeracin estaba desconectado, el MIC se haba almacenado a una temperatura cercana a los 20C y se haba reajustado la alarma a 20C.

Un trabajador fue requerido para lavar con agua unas tuberas y filtros que se encontraban obstruidos.El agua paso al tanque de almacenamiento del MIC a travs de una fuga de una vlvula producindose una reaccin violenta con gran produccin de gases.Los medidores de presin y temperatura del tanque que indicaban la situacin anormal no fueron tenidos en cuenta al pensar que eran imprecisos.El separador/lavador de venteo de gases a antorcha que poda haber neutralizado la fuga estaba fuera de servicio por estar suspendida la produccin de MIC y pensar que no era por tanto necesario.Asimismo la propia antorcha que podra haber quemado parte de dichos gases estaba fuera de servicio por mantenimiento.Finalmente hubo una serie de acontecimientos y errores en los planes de emergencia que completaron el fatal escenario de dicho accidente. Por lo explicado anteriormente, queda claro que los accidentes suelen ser una combinacin de raros eventos que se suelen asumir como independientes y de difcil coincidencia en el tiempo.Uno de los mtodos de protegerse contra ellos es implementando mltiples e independientes capas de seguridad que hagan ms difcil que dichos eventos generen en condiciones peligrosas. Es por tanto fundamental que desde el inicio de un Proyecto y en su etapa de explotacin y mantenimiento se dispongan de dichas capas de proteccin perfectamente estructuradas , proced mentadas y mantenidas. La figura que aqu aparece es (con ligeros matices) la que se representa en la mayora de los estndares para separar las diferentes capas de seguridad que deben tenerse en cuenta en cualquier diseo y desarrollo de un proyecto.varias de estas capas son de carcter preventivo y otras de mitigacin.Algunas de ellas necesitan instrumentos y otras no.En cualquier caso el concepto de separar en capas la seguridad de una planta responde a un concepto bsico y simple:No poner todos los huevos en la misma cesta.

Curso U.Santiago

Pgina 3

Sistemas Instrumentados de Seguridad

Tema: capas de seguridad

PLANES DE EMERGENCIA

1. PDE EMERGENCIA
MITIGACION

SISTEMAS DE CONTENCIN

FUEGO & GAS

S.I.S.
SISTEMA DE ALARMAS
PREVENCION

CONTROL DE PROCESO

PLANTA DE PROCESO
Figura 1.1

2. CAPAS DE PREVENCION
Son aqullas diseadas para prevenir y anticiparse a que un determinado peligro pueda ser efectivo y llegue a darse. Son las que se aplican en primer lugar, y las ms importantes son: 2.1. Diseo de Planta El diseo de cualquier planta de proceso debe, por s mismo, realizarse teniendo siempre en cuenta la seguridad.Saber que la mejor seguridad implica HACER BIEN LAS COSAS y esto debe incluir el uso de unas buenas especificaciones de diseo y disponer de los recursos humanos suficientes con buena formacin y experiencia.Debe
Curso U.Santiago Pgina 4

Sistemas Instrumentados de Seguridad

Tema: capas de seguridad

priorizarse durante todas las fases del Proyecto de una Planta los aspectos tcnicos sobre los econmicos.Adems de un correcto diseo conceptual y bsico, la realizacin de un estudio de riesgos operativos, tendente a identificar, evaluar y controlar los riesgos (accidentes e incidentes) de procesos es algo que se considera bsico al inicio de la ingeniera de detalle de cualquier proyecto (Ej. HAZOP). La eliminacin y/o reduccin de un peligro potencial suele venir como consecuencia de un diseo sencillo y claro.La alternativa de aadir elementos de proteccin para controlar los riesgos suele complicar la solucin y crear peligros aadidos. En un diseo enfocado hacia la seguridad se suelen tener en consideracin aspectos sobre la Planta tales como: La clasificacin y distribucin por reas de proceso. Instalacin de almacenamiento Depsitos de sustancias peligrosas. Fluidos calientes /fros Instalaciones elctricas Clasificacin de reas peligrosas Atex). Estructura organizativa y planes de emergencia. Etc En esta etapa los responsables principales en esta capa son ingenieros pertenecientes a diferentes disciplinas y donde los ingenieros y expertos en el Proceso son claves. 2.2. Sistemas de Control de Procesos El sistema de control de procesos es el siguiente paso en las capas de seguridad. Es el encargado de mantener las variables de operacin (presin, temperatura, caudal, nivel, etc) en sus puntos de consigna y dentro de mrgenes seguros as como optimizar los consumos y guardar la calidad de los productos. La automatizacin de una planta no significa la eliminacin total de las personas y con frecuencia lo que conlleva para las mismas es un incremento de sus tareas por los nuevos niveles de complejidad.Si los modernos Sistemas de Control Distribuidos (SCD) son usados para tomar ms y ms decisiones debido a que la intuicin y enjuiciamiento del operador no es adecuada, entonces puede ser un error tener a dicho operador como arbitro final de cualquier evento.La experiencia ha demostrado que las personas realizan una deficiente monitorizacin de los sistemas automticos y que las tareas que demandan poca accin por parte de los operadores conllevan a descuidar la vigilancia y llevar a la complacencia y excesiva confianza en dichos sistemas.Largos periodos de monitorizacin pasiva puede conducir a una falta de preparacin a la hora de atacar cualquier tipo de emergencias.De hecho algunos advierten que el control por ordenador convierte a los operadores en imbciles.Una manera de evitar esto es involucrarle en decisiones de diseo y anlisis de seguridad as como proporcionarle herramientas de simulacin adecuadamente preparadas para asegurar su continuo entrenamiento. Un aspecto interesante, que se suele plantear con frecuencia, es el nmero de lazos de control que pueden ser asignados por operador de consola/rea de control. A este respecto y definiendo como lazo de control una salida a vlvula elemento final (ya sea de forma automtica y/o manual ) existen recomendaciones que dependen de aspectos tales como: lugar geogrfico de la Planta, nivel de modernidad de la misma, disponibildad de Control Avanzado, etc. En todo caso a nivel de Europa y en plantas modernas no se recomiendan ms de 200 lazos por operador.
Curso U.Santiago Pgina 5

Sistemas Instrumentados de Seguridad

Tema: capas de seguridad

2.3. Sistemas de Alarmas Si el sistema de control falla (total parcialmente) y por cualquier razn, no realiza su funcin, el siguiente nivel corresponde a las alarmas, que alertan al operador y le posibilitan para una intervencin manual. El objetivo de un sistema de alarmas es ayudar al operador a detectar los problemas que puedan aparecer en el proceso y establecer la prioridad de su respuesta. Segn esto una alarma debe ser un aviso al operador de que ha ocurrido una perturbacin en el proceso que requiere su accin inmediata. Esto es importante, porque elimina de la definicin de alarma todas aquellas informaciones de estado, por ejemplo, Conexin de una aplicacin de control avanzado (no as su desconexin, que puede necesitar la accin del operador), cambio de una bomba, etc. Todo este tipo de informacin que el operador necesita saber, pero que no requiere ninguna accin por su parte, debera aparecer en el sumario de mensajes. Para definir correctamente las alarmas y su prioridad sera necesario contestar para cada alarma a las siguientes preguntas. * Cul es el propsito de la alarma? (Qu riesgo o incidencia pretende evitar?(La respuesta a esta pregunta definira si es realmente necesaria la alarma) * Cules seran las consecuencias de que el operador no tomase la accin adecuada, o no la tomase con suficiente rapidez?(la respuesta a esta pregunta definir la prioridad de la alarma) * Qu accin se requiere del operador? * Qu rapidez de respuesta se requiere por parte del operador?.(Esto es fundamental para fijar el lmite de la alarma) En un sistema de alarmas tambin es necesario definir que tipo de interfaces con el operador se van a establecer. La forma en que las alarmas se presentan al operador es muy importante ya que de ello depende lo rpidamente que el podr identificar la causa del problema que origin la alarma. Algunas de las posibilidades de presentacin ms estndar en un tpico SCD (Honeywell) son: Anunciador de alarmas. Da una visin ms general de la planta que el Sumario de alarmas, lo que permite, a un operador experimentado, conocer e interpretar ms rpidamente una alarma y su relacin con el resto de la unidad.Este tipo de presentacin sigue siendo vlido en los anunciadores de alarmas en paneles locales. Sumario de alarmas. Las alarmas aparecen por orden cronolgico y de prioridad. Es necesario leer la descripcin de la alarma, y no permite saber cual es la causa que la ha producido. Alarm/Message Window. Software especial que permite tener un pequeo sumario de alarmas sin abandonar el grfico de operacin en el que se est operando. En la definicin del sistema de alarmas es necesario decidir qu alarmas se incluyen en cada una de las interfaces (Anunciador, Sumario) y si se utiliza el software especial del Alarm Window.

Curso U.Santiago

Pgina 6

Sistemas Instrumentados de Seguridad

Tema: capas de seguridad

Una buena gestin de alarmas se inicia desde el comienzo de cualquier Proyecto racionalizando el nmero de las mismas.La revisin de los P&Ids debe ser realizada con detalle para asegurarse que el nmero de alarmas totales (independientemente de su importancia y prioridad) no supera determinados valores recomendados por las buenas prcticas de tal forma que un operador de una consola de operacin no tenga ms de 4 veces el nmero de lazos de control (salidas a vlvulas).Sigue con la creacin de procedimientos de mantenimiento y gestin de cambio de las mismas. Adems, si el tratamiento de las alarmas por el SCD correspondiente, no impide la inundacin de alarmas en determinados eventos (paradas,arranques,emergencias,etc) hay que desarrollar softwares de gestin dinmica de las mismas que haga posible una respuesta eficaz y segura por parte del operador. 2.4. Sistemas Instrumentados de Seguridad Si el sistema de control y la actuacin del operador son insuficientes, y se alcanzan niveles de variables predeterminados que no deben superarse bajo ningn concepto, debe disponerse de un sistema que de forma automtica realice las acciones oportunas (paradas parciales o totales de equipos y plantas) para as evitar el peligro.A estos sistemas se les ha venido denominando de varios nombres:sistemas de parada de emergencia ( E.S.D.), sistemas de enclavamientos de seguridad, sistemas de seguridad,etc aunque la forma final adoptada por Isa e IEC es el de Sistemas Instrumentados de Seguridad (SIS). Estos sistemas instrumentados de seguridad estn normalmente separados e independizados de los sistemas de control, incluyendo la lgica, los sensores y vlvulas de campo.Asimismo requieren un alto grado de seguridad y de diagnsticos de fallos as como prevenir cambios inadvertidos y manipulaciones. El presente curso se dedica a esta capa de prevencin.

3. CAPAS DE MITIGACION
Son aqullas que se disean para paliar o limitar las consecuencias de un peligro una vez que ste realmente ha sucedido. Las ms importantes son: 3.1. Sistemas de Fuego y Gas Si el sistema instrumentado de seguridad falla y el accidente tiene lugar (explosin, fuga, incendio, etc.), los sistemas de Fuego y Gas pueden ser usados para mitigar o minimizar las consecuencias del mismo. En USA estos sistemas slo son usados como alarma, no tomando ninguna accin automtica; Fuera de USA s suelen tomar accin automtica y normalmente estn integrados en las mismas plataformas que los SIS. Una interesante diferencia entre los sistemas de Fuego y Gas y los SIS es en el concepto denominado fallo seguro (fail safe) que estos ltimos estn normalmente energizados (se desenergizan para producir la parada) y los de Fuego y Gas estn
Curso U.Santiago Pgina 7

Sistemas Instrumentados de Seguridad

Tema: capas de seguridad

normalmente desenergizados (se energizan para tomar accin).La razn de esto es muy simple.Los sistemas de parada se disean para llevar la planta a un estado seguro lo cual usualmente significa parada de produccin.Los disparos intempestivos no deseados ni demandados conllevan por tanto perdidas de produccin durante el tiempo de parada pero no es catastrfico desde le punto de vista de la seguridad.Actualmente ,estudios han mostrado que el tiempo empleado en operaciones de arranque y paradas de planta suponen un 4% del totaldel tiempo de operacin pero el 25% de todos los accidentes suceden en ese 4% del tiempo.Los diseos de Fuego y Gas se realizan para proteger tanto el equipo como al personal.Los disparos no deseados en este tipo de sistemas pueden destrozar equipos y hasta pueden producir muertes (Ej:disparo de haln CO2 en una sala de control de Racks).Si el sistema trabaja con contactos normalmente abiertos y reles/bobinas desenergizadas tales fallos llegan a ser altamente improbables.En estos casos se puede disponer de un sistema de vigilancia de lnea que nos avisa de una posible avera. 3.2. Sistemas de Contencin Los sistemas de contencin constituyen otra de las capas de mitigacin. Ejemplos de estos sistemas son los pocetos de los tanques de productos, los edificios contenedores de reactores nucleares, etc. 3.3. Planes de Emergencia En el caso de un evento catastrfico, se deben de disponer de procedimientos y planes de emergencia internos y externos que se activen en funcin de la gravedad de dicho evento. Un plan de emergencia debe contemplar las lneas bsicas de actuacin del personal de la empresa as como la coordinacin de la ayuda exterior,en caso de requerirse,ante una situacin de peligro potencial para las personas e instalaciones y debe de respetar las leyes establecidas. Estas situaciones pueden originarse tanto dentro de las propias instalaciones (funcionamiento anmalo, incendio, explosin, vertido incontrolado, etc) como fuera de las mismas pero que pudieran estar involucradas. Aunque esta capa no dispone de sistemas fsicos (instrumentos y equipos), salvo las sirenas, se considera una capa ms de mitigacin de seguridad. Nota: En la mayora de las Plantas de Procesos existen determinados dispositivos para aliviar los excesos de presin de tanques, torres, recipientes, equipos y tuberas, etc. y evitar de esta manera roturas y fugas a la atmsfera de fluidos peligrosos evitando de esta manera riesgos de contaminacin/explosin y prdidas econmicas y/o de vidas. Estos dispositivos de seguridad son generalmente denominados vlvulas de alivio/seguridad y dependiendo de los autores pueden ser considerados como elementos de prevencin elementos de mitigacin.

Curso U.Santiago

Pgina 8

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS)

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS)


ndice
1. 2.
2.1. 2.2. 2.3.

INTRODUCCION ESTANDARES Y NORMATIVAS


ANSI/ISA I.E.C Otras

3 4
4 5 7

3. TERMINOLOGIA Y DEFINICIONES MAS IMPORTANTES


3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. Qu es un Sistema Instrumentado de Seguridad (SIS)? Qu es un Nivel Integrado de Seguridad (SIL)? Qu es la probabilidad de fallo en demanda (PFD)? Qu es una funcin instrumentada de seguridad (SIF)? Qu es tiempo medio entre fallos (MTBF)? Qu es fallo seguro y fallo peligroso? Otras definiciones

8
8 9 10 11 13 13 14

Curso U.Santiago

Pgina 2

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

1. INTRODUCCION
Sistema de enclavamientos, Sistema Instrumentado de Seguridad, Sistema de parada de emergencia, etc. la variedad de nombres parece algo ilimitado. Dentro de la Industria de Proceso, el debate contina sobre el significado de cada uno de ellos. Incluso en el comit ISA SP84 hubo discusiones continuas (y cambios frecuentes) sobre la terminologa, definicin y significado de cada uno de esos trminos. No obstante la confusin en la industria va ms all del propio significado. Ello afecta al propio diseo de estos sistemas. As, nos encontraremos con muchos ejemplos y preguntas que no son fciles de responder o que la respuesta no es la misma, dependiendo de la norma, estndar o persona que la d. A ttulo de ejemplo se exponen algunas: Seleccin de la tecnologa a utilizar.

Qu tecnologa deber ser usada: rels, estado slido, microprocesador (PLC)?. Depende dicha seleccin de la aplicacin?. Los rels son todava usados en pequeas aplicaciones pero diseara un sistema de 500 entradas/salidas con rels?. Es econmico disear un sistema con 20 entradas/salidas con PLCS redundantes?. Algunos prefieren no usar sistemas basados en software en aplicaciones de seguridad. Es una buena recomendacin?. Seleccin de redundancia.

Cmo de redundante debera ser diseado un sistema instrumentado de seguridad?. Depende de la tecnologa o del nivel de riesgo?. Si la mayora de los sistemas basados en rels son simples, Por qu son tan populares, actualmente los sistemas programables de triple redundancia?. Elementos de campo.

Deberan los elementos sensores iniciadores ser de tipo transmisor o interruptor (switch)?. Si usamos transmisores, analgicos o digitales?. Reduccin o no en los elementos de campo?. Pueden usarse los mismos elementos de campo para enclavamientos y para control?. Frecuencia de prueba de dichos elementos? Un objetivo de este curso, es tratar de dar respuestas a estas preguntas y de clarificar la confusin general que sobres estos sistemas se est produciendo
Curso U.Santiago Pgina 3

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

2. ESTANDARES Y NORMATIVAS
Ante todo, conviene clarificar la diferencia existente entre lo que es de obligado cumplimiento por ley y lo que simplemente es una buena prctica de diseo y trabajo recogido en especificaciones, estndares y normas. Tambin decir que lo que puede ser obligatorio en un pas (ejemplo. USA), puede no serlo en otros o viceversa. En la Unin Europea y como es lgico en Espaa, lo obligado por ley se recoge en Directivas y su transposicin a Reales Decretos. Un ejemplo (entre muchos) es la Directiva 96/82 CE (9/12/96) llamada Seveso II y su traslado al RD 1254/1999 (16 Julio 99) de Prevencin de accidentes graves en los que intervienen sustancias peligrosas. Otro es de Directiva ATEX. Referente a los Sistemas Instrumentados de Seguridad (SIS) no hay ninguna Directiva ni R.D. que obligue a su cumplimiento. S existen estndares y normas cuyo cumplimiento se considera recomendable y con visin de futuro deber ponerse en prctica en los Proyectos y Modificaciones ya que, como en otros campos, finalmente aparecer la Directiva que obligue a su cumplimiento. Centrndonos en el tema de los SIS, se enumeran aqullos estndares y normas ms importantes a tener en cuenta en el diseo y desarrollo de los mismos. A estos efectos, se separan en dos grupos: en el primero se enmarcan los organismos que definen los mejores estndares y prcticas de diseo e ingeniera de SIS y en el segundo, aqullos cuyos estndares y guas, deben ser integrados con los anteriores. 2.1. ANSI/ISA En el primer grupo est la ISA (Sociedad Internacional de Automatizacin) y la I.E.C. (Comisin electrotcnica internacional). El estndar de ISA relacionado con los SIS es el ANSI / ISA 84.01, denominado Aplicacin de SIS para las Industrias de Proceso. El ISA SP84 (Comit de estndares y prcticas n 84) ha trabajado muchos aos en la elaboracin y desarrollo de este estndar. Inicialmente, estaba direccionado slo a la lgica y con posterioridad se incluyeron los elementos de campo. El documento ha sufrido muchos cambios a lo largo del tiempo y su futuro a largo plazo est condicionado al desarrollo del estndar IEC 61511. El primer documento fue editado en 1996 (actualmente est el de 2004) y ya que dentro de la IEC est representando a USA el ANSI (Instituto Nacional de Estandarizacin Americano), este Instituto soportar el estndar IEC 61511 y podr reemplazar al ANSI/ISA S84.01. En cualquier caso, al da de hoy el ISA 84.01/2004 es bsicamente idntico al IEC 61511 con la inclusin de una clusula de salvaguarda (abuelograndfather) que afecta a modificaciones en instalaciones existentes y que bsicamente dice lo siguiente:
Curso U.Santiago Pgina 4

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

Para los sistemas instrumentados de seguridad existentes (SIS), diseados y construidos de acuerdo con los cdigos, normas, prcticas con anterioridad a la emisin de esta norma (por ejemplo, ANSI / ISA 84.01-1996), el propietario / operador de la planta debe determinar y documentar que el equipo est diseado, mantenido, inspeccionado, probado y funciona de una manera segura.

2.2. I.E.C IEC tiene dos estndares relacionados con los sistemas instrumentados de seguridad: IEC 61508 Seguridad Funcional: Sistemas Relacionados con la Seguridad que afecta a todo tipo de industrias y que se usa bsicamente por fabricantes y suministradores. IEC form posteriormente un grupo de trabajo para desarrollar un documento especfico de SIS para el sector de las industrias del proceso y aplicable, no slo a fabricantes y suministradores, sino tambin a diseadores, integradores y usuarios. El estndar se denomin IEC 61511 Seguridad Funcional: SIS para el Sector de la Industria del Proceso que debe ser usado en complemento con el IEC 61508. Por la importancia que tiene la Comisin Electrotcnica Internacional (IEC) en los Sistemas Instrumentados de Seguridad sobre todo en lo referente a las industrias de proceso con su estndar IEC 61511 haremos una exposicin ms detallada de dicho estndar incluyendo su historia y contenido. IEC 61511 es una norma tcnica que establece las prcticas en la ingeniera de sistemas que garantizan la seguridad de un proceso industrial mediante el uso de la instrumentacin. Estos sistemas se denominan Sistemas Instrumentados de Seguridad. El ttulo de la norma es "Seguridad funcional - Sistemas instrumentados de seguridad para el sector de la industria de procesos". Contenido: El sector de la industria de proceso incluye muchos tipos de procesos de fabricacin, tales como refineras, petroqumicas, qumicas, farmacuticas de pasta y papel, energa, etc. El estndar del sector proceso no se aplica a las instalaciones de energa nuclear o reactores nucleares. IEC 61511 cubre el uso de equipos elctricos, electrnicos y electrnicos programables. Mientras IEC 61511 es aplicable a los equipos que utilizan sistemas hidrulicos o neumticos para manipular elementos finales, el estndar no cubre el diseo e implementacin de la lgica neumtica o hidrulica. Esta norma define los requisitos de seguridad funcional establecida por la norma IEC 61508 en el sector de las industrias de proceso. IEC 61511 centra la atencin en un tipo de sistema instrumentado de seguridad utilizados en el sector de proceso, el denominado Sistema Instrumentado de Seguridad (SIS). La norma no establece requisitos de otros sistemas de seguridad instrumentados, tales como sistemas contra incendios y de gas, sistemas de alarmas, etc.

Curso U.Santiago

Pgina 5

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

Historia En 1998, la IEC, que es sinnimo de Comisin Electrotcnica Internacional public un documento, IEC 61508, titulado: "La seguridad funcional de sistemas elctricos / electrnicos / sistemas electrnicos programables relacionados con la seguridad". Este documento establece las normas para el diseo de sistemas relacionados con la seguridad tanto del hardware como del software. IEC 61508 es la norma genrica de seguridad funcional, es la base y contiene los requisitos bsicos para cada norma especfica del sector. Tres normas especficas han sido realizadas con el marco de la norma IEC 61508: IEC 61511 (proceso), IEC 61513 (nuclear) e IEC 62061 (de fabricacin). IEC 61511 proporciona buenas prcticas de ingeniera para la aplicacin de los sistemas instrumentados de seguridad (SIS) en el sector de proceso. En Estados Unidos, ANSI / ISA 84.00.01-2004 se public en septiembre de 2004. Es principalmente un espejo de la IEC 61511 en su contenido con la excepcin de que contiene una clusula de derechos adquiridos llamada del abuelo (grandfather). El organismo europeo de normalizacin, CENELEC, ha adoptado la norma como la EN 61511. Esto significa que en cada uno de los estados miembros de la Unin Europea, la norma se publica como una norma nacional. Por ejemplo, en Gran Bretaa, que es publicado por el organismo nacional de normalizacin segn la norma BS EN 61511. El contenido de estas publicaciones nacionales es idntico a la de la norma IEC 61511. Debe tenerse en cuenta, sin embargo, que la IEC 61.511 no est armonizada como directiva de la Comisin Europea hasta la fecha (ao 2011). La Norma IEC 61511 cubre los requisitos de diseo y gestin de SIS desde la cuna hasta la tumba constituyendo un Ciclo de Vida completo lo que constituye el mayor valor de la misma. Su mbito de aplicacin incluye: el diseo conceptual y bsico, el diseo e ingeniera de detalle, montaje e implementacin, pruebas, operacin y mantenimiento, modificaciones y eventualmente una eliminacin de parte del completo SIS. Se inicia en la primera fase de un proyecto y contina hasta la puesta en marcha. Contiene secciones que cubren las eventuales modificaciones, junto con las actividades de mantenimiento y las actividades de posibles desmantelamientos. La norma consta de tres partes: 1. Marco, definiciones, sistema y requerimientos de hardware y software 2. Directrices y guas para la aplicacin de la norma IEC 61511-1 3. Orientacin y guas para la determinacin de los niveles requeridos de integridad de seguridad (SIL) ISA 84.01/IEC 61511 requiere un sistema de gestin para cada SIS. El SIS se compone de una combinacin separada e independiente de sensores, revolvedores de lgica, elementos finales y sistemas de apoyo que se disean y gestionan para conseguir un nivel de integridad de seguridad especificado (SIL). Un SIS puede estar formado por una o ms funciones instrumentadas de seguridad (SIFs), que son diseadas e implementadas para hacer frente a un peligro de proceso especfico o suceso peligroso.
Curso U.Santiago Pgina 6

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

El sistema de gestin del SIS debe definir cmo un propietario / operador tiene intencin de evaluar, disear, verificar, instalar, validar, operar, mantener y mejorar continuamente sus SIS. Las funciones esenciales del personal asignado a la gestin del SIS deben estar contempladas y bien definidas en procedimientos, segn sea necesario, para apoyar la ejecucin coherente de sus responsabilidades. ISA 84.01/IEC 61511 utiliza un orden de magnitud mtrica, el SIL, para establecer el objetivo necesario. Un anlisis de riesgos operativo es parte del ciclo de vida para identificar las funciones de seguridad necesarias y la reduccin del riesgo respecto a determinados eventos peligrosos. Las funciones de seguridad asignadas al SIS son las funciones instrumentadas de seguridad (SIFs), la reduccin del riesgo, atribuido a cada una de ellas, se relaciona con el SIL. La base de diseo y operacin se ha desarrollado para garantizar que el SIS cumple con el SIL requerido. Los datos de campo se recogen a travs de actividades programadas para evaluar el rendimiento real del SIS. Cuando los rendimientos no se cumplen, deben tomarse medidas para cerrar la brecha, asegurando un funcionamiento seguro y fiable. 2.3. Otras En el segundo grupo se encuentran una serie de organismos que disponen de estndares y normas cuyas guas son de suma utilidad para complementar los anteriores de ISA e IEC. Entre ellos se encuentran: AICHE (American Institute of Chemical Engineers), con varios libros entre los que destaca el relativo a Guas de Automatizacin Segura en Procesos Qumicos. API (American Petroleum Institute). Con su prctica de recomendacin RP14C de Sistemas de Parada en Plataformas Petrolferas. NFPA (National Fire Protection Association). Este Organismo dispone de estndares que aplican a calderas, hornos y sistemas de control de quemadores. OSHA (Occupational Safety and Health Administration). Con su OSHA de Gestin de la Seguridad en el Proceso de Plantas Qumicas altamente peligrosas. ASME, ISO, etc.

Curso U.Santiago

Pgina 7

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

3. TERMINOLOGIA Y DEFINICIONES MS IMPORTANTES


Algunas terminologas y definiciones ms usadas son:

3.1. Qu es un Sistema Instrumentado de Seguridad (SIS)? Un Sistema Instrumentado de Seguridad (SIS) es un nuevo trmino usado en los estndares que normalmente tambin ha sido y es conocido por la mayora como: Sistema de Parada de Emergencia (ESD), Sistema de Parada de Seguridad, Sistema de Enclavamientos, Sistema de Disparos de Emergencia, Sistemas de Seguridad, etc. ANSI/ISA 84.01 define el trmino SIS como: Un Sistema compuesto por sensores, lgica y elementos finales con el propsito de llevar el proceso a un estado seguro cuando determinadas condiciones preestablecidas son violadas

IEC-61511 define el trmino SIS como: Un Sistema Instrumentado usado para implementar una ms funciones instrumentadas de Seguridad (SIF) y se compone de una ms combinaciones de sensores, lgica y elementos finales El Sistema Instrumentado de Seguridad (SIS)puede definirse por tanto como una combinacin de una o ms funciones instrumentadas de seguridad.

Curso U.Santiago

Pgina 8

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

SIS
UnPeligro

FIS n 1
Sensores S. Lgico Elemento final SIL

Estado Seguro

UnPeligro

FIS n 2
Sensores S. Lgico Elemento final SIL

Estado Seguro

UnPeligro

FIS n 3
Sensores S. Lgico Elemento final SIL

Estado Seguro

Fgura 3.1 3.2. Qu es un Nivel Integrado de Seguridad (SIL)? La Integridad de la Seguridad indica la disponibilidad de un Sistema de Seguridad. Es decir (sic) La probabilidad de que un sistema relacionado con la seguridad ejecute de forma satisfactoria las funciones de seguridad requeridas en todas las condiciones especificadas en un periodo de tiempo especificado.

Especificar la Integridad de la Seguridad no consiste en definir solo que es lo que debe hacer el sistema de seguridad, sino tambin en especificar la bondad con la cual dicho sistema debe llevar acabo su funcin.

Curso U.Santiago

Pgina 9

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

El SIL es el Nivel de Integridad de la Seguridad asociado y exigible a un Sistema de Seguridad. Se definen hasta cuatro niveles de Integridad de la Seguridad, donde el nivel 4 posee el grado ms elevado de integridad de la seguridad y el nivel 1 el ms bajo.

SIL 1 2 3 4

Disponibilidad 90,00 99,00 % 99,00 99,90 % 99,90 99,99 % > 99,99 %

En la determinacin de la integridad de seguridad se deben incluir todas las causas de fallo que conducen a un estado inseguro: los fallos de hardware (tanto los aleatorios como los sistemticos), los fallos inducidos de software y los fallos debidos a las perturbaciones elctricas. Aunque algunos de estos tipos de fallos se pueden cuantificar (utilizando medidas como la Tasa de Fallos o la Probabilidad de Fallo de funcionamiento a la Demanda), la integridad de la seguridad depende tambin de muchos factores que no se pueden cuantificar con precisin, sino que solo se pueden considerar de forma cualitativa. 3.3. Qu es la probabilidad de fallo en demanda (PFD)? Para calcular de una forma numrica el SIL uno de los parmetros mas utilizados es la PFDMEDIA. Este parmetro indica la probabilidad media de fallo al ejecutar, bajo demanda, la funcin para la cual ha sido diseado. Supongamos una funcin de seguridad: cierre de la vlvula de vapor al calentador de fondo cuando se detecta alta presin en la cabeza de la torre. La PFDMEDIA es la probabilidad de que cuando haya alta presin en la cabeza de la torre, el sistema cierre efectivamente la vlvula de vapor. La relacin de la PFDMEDIA para SIF en modo Demanda con los SIL es la siguiente: SIL 1 2 3 4 Disponibilidad 90,00 99,00 % 99,00 99,90 % 99,90 99,99 % > 99,99 % PFDMEDIA 10-2 10-1 10-3 10-2 10-4 10-3 10-5 10-4
Factor Reduccin de Riesgo

10 a 100 100 a 1000 1000 a 10000 >10000

Curso U.Santiago

Pgina 10

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

Matemticamente, el clculo de la PFDMEDIA es muy complejo si se intenta hacer sobre la funcin de seguridad en su conjunto. Para simplificarlo, lo que se hace es lo siguiente: Descomponer dicha funcin de seguridad en sus elementos principales. Calcular la PFDMEDIA de cada elemento. Realizar la suma de las PFDMEDIA de todos los elementos. Por ejemplo, para el caso citado se calcularan las PFDMEDIA de la parte sensora, la parte del operador lgico y la parte actuadora. La suma de todas ellas sera la PFDMEDIA de la funcin de seguridad:

CLCULO PFD DEL SIS


SENSOR LGICA ACTUADOR

PDF SENSOR ALGEBRA BOOLE

PDF LGICA

PDF ACTUADOR

PFD=S PFD i =PFD SENSOR +PFD LGICA +PFD ACTUADOR


i

DEBE CUMPLIR CON EL SIL ESTABLECIDO !

Fgura 3.2

3.4. Qu es una funcin instrumentada de seguridad (SIF)? Funcin de Seguridad con un nivel de integridad de la seguridad necesario para lograr la seguridad funcional y en el que puede haber una funcin de proteccin instrumentada de seguridad o una funcin de control instrumentada de la seguridad. Los elementos que forman una SIF son el sensor (compuesto a su vez por un conjunto de uno mas elementos de medida) el sistema lgico (normalmente situado en un PLC) y el elemento final (compuesto generalmente por una o ms vlvulas).

Curso U.Santiago

Pgina 11

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

Estado Seguro UnPeligro

FIS
Sensores S. Lgico Elemento final SIL

Fgura 3.3 Existen dos clases de SIF las que son activadas nicamente cuando son requeridas (modo demanda baja demanda) y este requerimiento, frecuencia prevista de actuacin, es muy baja respecto al posible intervalo de prueba entre test funcionales (Ejemplo: pruebas funcionales bianuales y frecuencia de demanda esperada de10 aos) y aquellas funciones instrumentadas de seguridad que su frecuencia de actuacin es muy alta comparada con los intervalos de pruebas (alta demanda) y que a efectos de ISA/IEC las denomina de modo continuo. El presente curso contempla las SIF activadas en demanda baja que son las normalmente requeridas en la mayora de las Industrias de Proceso y cuya tabla se reflejo en el apartado 3.3 anterior.. Para el caso de SIFs a modo continuo el nico factor que se considera para el cumplimiento del SIL es la frecuencia del fallo peligroso no detectado (!du) y en este caso ISA/IEC las llama Funciones Instrumentadas de Seguridad/Control.
Definicin del SIL para alta demanda/modo EN 61508 SIL Rango de du (fallos por hora) 10-9 " ! < 10-8 10-8 " ! < 10-7 10-7 " ! < 10-6 10-6 " ! < 10-5

continuo

~ Rango de MTTF (aos)

4 3 2 1

100,000 # MTTF > 10,000 10,000 # MTTF > 1,000 1,000 # MTTF > 100 100 # MTTF > 10

Curso U.Santiago

Pgina 12

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

3.5. Qu es tiempo medio entre fallos (MTBF)? El tiempo medio entre fallos (del ingles Mean Time Between Failure) es la suma del tiempo medio de fallo (MTTF) ms el tiempo medio empleado en detectar el fallo y el tiempo empleado en repararlo.Normalmente el fabricante debera de dar el MTTF (mean time to fail) aunque a veces se da el MTBF como si fuera el MTTF.Realmente, los tiempos de deteccin y reparacin son despreciables con respecto al MTTF por lo que no existe demasiada diferencia entre entre el MTBF y el MTTF. En esencia: MTBF=MTTF+MTTR+MTDF

donde: MTBF: tiempo medio entre fallos ( mean time between failure) MTTF: tiempo medio de fallos (mean time to fail) MTTR: tiempo medio de reparacin (mean time to repair) MTDF: tiempo medio de deteccin del fallo (mean time to detect failure)

3.6. Qu es fallo seguro y fallo peligroso? Conocer la diferencia entre estos dos tipos de fallos es esencial para el uso correcto de las formulas empleadas en los clculos de la probabilidad de fallo en damanda.Se dice que un fallo de un determinado instrumento es seguro cuando como consecuencia del mismo el proceso va a una condicin segura.Si dicho fallo posibilita que, ante la necesidad demanda de la correspondiente funcin lgica,el sistema no acta correctamente y deja al proceso en condiciones inseguras dicho fallo se denomina peligroso.

Saber que la tasa de fallo global () de cualquier instrumento es : 1/MTBF Asimismo de la tasa de fallo global una fraccin es peligrosa (d) y otra segura(s). Se puede decir que =1/MTBF , d=1/MTBFd y s=1/MTBFs

Dependiendo del tipo de elemento/instrumento pueden existir parte de las tasas de fallo peligrosas y seguras que sean detectadas y otras que no. En este caso se aade otro subndice a d y a s con las letras u (undetected) y d(detected). Como se ver ms adelante esta diferencia es bsica a la hora de los clculos de la probabilidad de fallo en demanda (usa la fraccin de tasa de fallo peligrosa) y del clculo del tiempo de disparo esporius no deseado (usa la fraccin de tasa de fallo segura). Asimismo estos fallos pueden ser total parcialmente detectados aadiendo un segundo subndice a la tasa de fallos con las letras D (detectado) y U (no detectados). Por ltimo aadir que tanto IEC 61508 como IEC 61511 establecen una mnima tolerancia de fallo de Hardware (HTF) ligada al fraccin de fallo segura, tanto para la lgica como para los sensores y elementos finales, para el cumplimiento de un determinado SIL con independencia del clculo de la PFDmedia y esto puede
Curso U.Santiago Pgina 13

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

depender asimismo del tipo de elemento (A B). Para un mejor entendimiento de este tema se ha aadido a la presente documentacin del curso el documento de EXIDA referente a las Limitaciones de Arquitectura.

3.7. Otras definiciones Arquitectura Composicin de los elementos de hardware y/o software en un sistema, por ejemplo, Composicin de los subsistemas del sistema instrumentado de seguridad (SIS) Estructura interna de un subsistema SIS; Composicin de los programas de software. Ciclo de Vida de la Seguridad Lo conforman aquellas actividades necesarias involucradas en la implementacin de la funcin o las funciones instrumentadas de la seguridad que se producen durante un periodo de tiempo, que se inicia en la fase conceptual y concluye cuando todas las funciones instrumentadas de seguridad ya no estn disponibles para su uso. Componente Una de las piezas de un sistema, subsistema, o dispositivo que ejecuta una funcin especfica Elemento final Parte de un sistema instrumentado de seguridad que implementa la accin fsica necesaria para lograr un estado seguro. Los ejemplos comprenden vlvulas, dispositivos de conmutacin, motores con sus elementos auxiliares incluidos, por ejemplo, una vlvula solenoide y un actuador si estn involucrados en la funcin instrumentada de seguridad. Estado seguro Estado del proceso cuando se logra la seguridad. Al pasar de una condicin potencialmente peligrosa al estado seguro final, el proceso puede tener que pasar por varios estados seguros intermedios. Para algunas situaciones, existe un estado seguro slo en la medida que el proceso sea controlado continuamente. Ese control continuo puede efectuarse por un perodo de tiempo breve o indefinido. Instrumento Aparato utilizado para realizar una accin (habitualmente se halla en los sistemas instrumentados). Los sistemas instrumentados en el sector de las industrias de proceso estn habitualmente compuestos de sensores (por ejemplo: de presin, flujo, y transmisores de temperatura), resolvedores lgicos o sistemas de control (por ejemplo: controladores programables, sistemas de control distribuido), o elementos finales (por
Pgina 14

Curso U.Santiago

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

ejemplo: vlvulas de control). Los sistemas instrumentados de seguridad son un caso particular de los sistemas instrumentados (vase definicin de SIS).

Integridad de la seguridad Probabilidad promedio de que un sistema instrumentado de seguridad realice las funciones instrumentadas de seguridad requeridas bajo todas las condiciones indicadas dentro de un perodo de tiempo indicado. Cuanto ms alto sea el nivel de integridad de la seguridad, mayor ser la probabilidad de que la funcin instrumentada de seguridad (SIF) sea llevada a cabo. La integridad de la seguridad abarca la integridad de la seguridad del hardware y la integridad de la seguridad de la lgica utilizada. Prevencin Accin que reduce la frecuencia con que se produce un evento peligroso. Mitigacin Accin que reduce la(s) consecuencia(s) de un evento peligroso Modo de operacin Forma en la que opera una funcin instrumentada de seguridad. MooN Sistema instrumentado de seguridad, o parte de ese sistema, integrado por "N" canales independientes, que estn conectados de tal manera que basta activar "M" canales para que se ejecute la funcin instrumentada de seguridad (M on of N). Proteccin de los activos Funcin asignada al diseo del sistema con el objeto de evitar la prdida de activos Prueba Funcional Pruebas realizadas con el objeto de revelar defectos no detectados en un sistema instrumentado de seguridad de manera que, si fuera necesario, se puede volver a ajustar el sistema a su funcionalidad de diseo. Reduccin del Riesgo Necesaria La reduccin del riesgo requerida para asegurar que ste se reduzca a un nivel tolerable. Resolvedor Lgico La parte del BPCS (Sistema de Control Bsico del Proceso) o de los SIS que realiza una o ms funciones lgicas.

Curso U.Santiago

Pgina 15

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

Resolvedor lgico configurado para la seguridad Resolvedor lgico electrnico y programable, para usos generales, de grado industrial, que est configurado especficamente para su utilizacin en aplicaciones de seguridad de acuerdo con la clusula 11.5. de la norma IEC61511-I. Esta definicin excluye las tarjetas de entrada y salida y amplificadores. Ejemplos son los rels electromecnicos y las unidades centrales de proceso (CPU) de los Sistemas electrnicos programables (PLC en general).

Riesgo Individual El riesgo individual en un establecimiento en el que se desarrolle una actividad peligrosa se define como la probabilidad de que una persona genrica sin proteccin presente permanentemente en esa instalacin muera debido a un accidente relativo a la actividad peligrosa. En sentido estricto se trata de un grfico que representa los contornos de isolineas de riesgo alrededor del rea de la actividad peligrosa. Muchas veces se utiliza, en forma conservadora, el nmero del punto de mayor riesgo alrededor de la zona de peligro. Riesgo del Proceso El riesgo que surge de las condiciones del proceso causado por hechos anormales (incluido el mal funcionamiento del BPCS). Riesgo social Probabilidad de que un grupo de ms de N personas mueran debido a un accidente relacionado con la actividad peligrosa. El riesgo social est dado, en general, como un grfico de la frecuencia (F= probabilidad por ao) versus el tamao N del grupo. Si no hay personas alrededor de la instalacin, el riesgo social es despreciable, aunque el riesgo individual tuviera un valor elevado. Riesgo tolerable Riesgo que es aceptado en un contexto dado, basado en los valores vigentes de la sociedad Seguridad Funcional La parte de la seguridad general relacionada con el proceso y el BPCS que depende del funcionamiento correcto de los SIS y otros sistemas protectores. Sensor Dispositivo o combinacin de dispositivos, que miden la condicin del proceso (por ejemplo: transmisores, transductores, interruptores de proceso, interruptores de posicin). En el caso de las funciones instrumentadas de seguridad el concepto de sensor (tambin llamado elemento iniciador) incluye a las tarjetas de entrada y los rels de entrada al revolvedor lgico.

Sistema de Control
Pgina 16

Curso U.Santiago

Sistemas Instrumentados de Seguridad Tema: Sistemas Instrumentados de Seguridad (SIS)

Sistema que responde a las seales de entrada del proceso y/o de un operador y genera seales de salida que hacen que le proceso opere en la forma deseada. El sistema de control incluye los dispositivos de entrada y los elementos finales y puede ser un BPCS o un SIS o una combinacin de ambos.

Sistema de Control Bsico de Proceso (Basic Process control System - BPCS) Un sistema que responde a las seales de entrada del proceso, de su equipo asociado, de otros sistemas programables y/o de un operador y genera seales de salida haciendo que el proceso y su equipo asociado operen de la manera deseada pero que no tiene un buen desempeo para funciones instrumentadas de seguridad con un requerimiento SIL 1. Software de Aplicacin Aplicacin especfica para el usuario. En general, contiene secuencias lgicas, interfases con el operador, lmites y expresiones que controlan las entradas, las salidas y las decisiones necesarias para cumplir con los requisitos de la funcin instrumentada de seguridad. Validacin La actividad de demostrar que la funcin o las funciones instrumentadas de la seguridad y el sistema o los sistemas instrumentados de seguridad bajo consideracin despus de la instalacin cumplen en todos los aspectos con la especificacin de los requisitos de seguridad. Verificacin La actividad de demostrar respecto de cada fase del ciclo de vida pertinente, mediante anlisis y/o pruebas, que las entradas y las salidas especficas cumplen en todos los aspectos con los objetivos y requisitos establecidos para las fases especficas.

Curso U.Santiago

Pgina 17

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

CICLO DE VIDA DE SEGURIDAD

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

CICLO DE VIDA DE SEGURIDAD


ndice

1. INTRODUCCION 2. DISEO CONCEPTUAL 3. ANALISIS Y EVALUACION DE RIESGOS DE PROCESO 4. DETERMINACION DEL SIL DE CADA FUNCION (SIF) 5. DESARROLLO DE LA ESPECIFICACION DE SEGURIDAD 6. DISEO CONCEPTUAL DEL SIS Y VERIFICACIN 7. DISEO DE DETALLE DEL SIS 8. INSTALACION,PRUEBAS Y COMISIONADO DEL SIS 9. MANTENIMIENTO Y EXPLOTACION DE LOS SIS 10. MODIFICACIONES

3 5 5 9 15 17 19 19 24 27

Curso U.Santiago

Pgina 2

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

1. INTRODUCCION
Es uno de los conceptos bsicos de la norma. Segn cita la norma, el ciclo de vida de seguridad comprende aquellas actividades necesarias implicadas en la instalacin de sistemas relacionados con la seguridad, que se presentan durante un periodo de tiempo que empieza en la fase de diseo conceptual de un proyecto y termina cuando todos los sistemas E/E/PE relacionados con la seguridad, o los sistemas relacionados con la seguridad de otra tecnologa e instalaciones de reduccin del riesgo externo ya no se encuentran disponibles para su utilizacin. Incluye todas las actividades relacionadas con un SIS desde la concepcin del proceso o del propio SIS hasta su desinstalacin. Como un sistema de seguridad no es un componente simple, requiere la participacin de un equipo multidisciplinar y de una sistemtica precisa para evitar los fallos. Lo que la Norma intenta es que el objetivo de la seguridad gue todas las fases del diseo, la construccin, la operacin y el mantenimiento de un proceso. Los datos demuestran que aunque est sistemtica aumenta los costes iniciales a la larga produce un sistema mas seguro y por lo tanto un aumento en la produccin. Segn ANSI / ISA S84.01-2004, el ciclo de vida contempla, de forma resumida, las siguientes fases:

Curso U.Santiago

Pgina 3

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Curso U.Santiago

Pgina 4

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

2. DISEO CONCEPTUAL
El objetivo de esta fase es disear una planta que sea inherentemente segura. Para ello ser necesario conocer el proceso, los equipos y el entorno en suficiente profundidad. En general, esta fase suele quedar fuera del alcance del especialista en Control y depende fundamentalmente del especialista en Procesos. El diseo de cualquier planta de proceso debe, por s mismo, realizarse teniendo siempre en cuenta la seguridad. Saber que la mejor seguridad implica HACER BIEN LAS COSAS y esto debe incluir el uso de unas buenas especificaciones de diseo y disponer de los recursos humanos suficientes con buena formacin y experiencia. Deben priorizarse durante todas las fases del Proyecto de una Planta los aspectos tcnicos sobre los econmicos. Adems de un correcto diseo conceptual y bsico, la realizacin de un estudio de riesgos operativos, tendente a identificar, evaluar y controlar los riesgos (accidentes e incidentes) de procesos es algo que se considera bsico al inicio de la ingeniera de detalle de cualquier proyecto (Ej. HAZOP). La eliminacin y/o reduccin de un peligro potencial suele venir como consecuencia de un diseo sencillo y claro. La alternativa de aadir elementos de proteccin para controlar los riesgos suele complicar la solucin y crear peligros aadidos. En un diseo enfocado hacia la seguridad se suelen tener en consideracin aspectos sobre la Planta tales como: La clasificacin y distribucin por reas de proceso. Instalacin de almacenamiento Depsitos de sustancias peligrosas. Fluidos calientes /fros Instalaciones elctricas Clasificacin de reas peligrosas Atex). Estructura organizativa y planes de emergencia. Etc. En esta etapa los responsables principales en esta capa son ingenieros pertenecientes a diferentes disciplinas y donde los ingenieros y expertos en el Proceso son claves.

3. ANALISIS Y EVALUACION DE RIESGOS DE PROCESO


El primer objetivo de esta fase es entender todos los riesgos asociados al proceso, ya tengan impacto sobre el personal, la produccin, los equipos el medio ambiente o la imagen de la compaa. El segundo objetivo de esta fase es evaluar los riesgos identificados en el anlisis anterior para establecer un ranking. La evaluacin de los riesgos puede ser: Cualitativa. Cuantitativa. Existen varias tcnicas de Anlisis de riesgos de un proceso (PHA) tales como: What-if, Lopa, hazop, etc siendo la denominada HAZOP (Hazard and Operability) la ms utilizada en
Curso U.Santiago Pgina 5

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

las industrias de proceso. En castellano se suele traducir por Anlisis Funcional de Operatibilidad (AFO). Los estudios HAZOP son un mtodo probado y bien estructurado, basado en el trabajo en equipo, para identificar los peligros existentes en el diseo de procesos o en las modificaciones que se pretendan incorporar. El sistema realiza un examen pormenorizado del proceso y de las modificaciones a realizar en instalaciones nuevas o ya existentes, con el fin de evaluar los peligros potenciales de su funcionamiento al margen de las intenciones de su diseo o de averas de partes concretas de los equipos y los efectos que stas pudieran tener sobre el conjunto de las instalaciones. Los estudios HAZOP son dirigidos por un coordinador con experiencia. Para los proyectos en el sector de los hidrocarburos, en el equipo siempre participa personal de Procesos, Instrumentos, Maquinaria, Ingeniera de Proyectos y Operaciones, pudiendo ser necesaria la participacin de tcnicos de procesos, especialistas en medio ambiente y de los responsables de la empresa de seguridad e higiene y medio ambiente (HSE) en determinadas partes del trabajo. El mtodo surgi en 1963 en la compaa Imperial Chemical Industries, ICI, que utilizaba tcnicas de anlisis crtico en otras reas. Posteriormente, se generaliz y formaliz, y actualmente es una de las herramientas ms utilizadas internacionalmente en la identificacin de riesgos en una instalacin industrial. La realizacin de un anlisis HAZOP consta de las etapas que se decriben a continuacin:

1. Definicin del rea de estudio


Consiste en delimitar las reas a las cuales se aplica la tcnica. En una determinada instalacin de proceso, considerada como el rea objeto de estudio, se definirn para mayor comodidad una serie de subsistemas o lneas de proceso que corresponden a entidades funcionales propias: lnea de carga a un depsito, separacin de disolventes, reactores, etc.

2. Definicin de los nudos


En cada uno de estos subsistemas o lneas se debern identificar una serie de nudos o puntos claramente localizados en el proceso. Por ejemplo, tubera de alimentacin de una materia prima a un reactor, impulsin de una bomba, depsito de almacenamiento, etc. Cada nudo deber ser identificado y numerado correlativamente dentro de cada subsistema y en el sentido del proceso para mejor comprensin y comodidad. La tcnica HAZOP se aplica a cada uno de estos puntos. Cada nudo vendr caracterizado por variables de proceso: presin, temperatura, caudal, nivel, composicin, viscosidad, etc. La facilidad de utilizacin de esta tcnica requiere reflejar en esquemas simplificados de diagramas de flujo todos los subsistemas considerados y su posicin exacta. El documento que acta como soporte principal del mtodo es el diagrama de flujo de proceso, o de tuberas e instrumentos, P&ID.
Curso U.Santiago Pgina 6

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

3. Aplicacin de las palabras gua


Las "palabras gua" se utilizan para indicar el concepto que representan a cada uno de los nudos definidos anteriormente que entran o salen de un elemento determinado. Se aplican tanto a acciones (reacciones, transferencias, etc.) como a parmetros especficos (presin, caudal, temperatura, etc.). La tabla de abajo presenta algunas palabras gua y su significado.

Palabra gua
NO

Significado
Ausencia de la variable a la cual se aplica

Ejemplo de desviacin
No hay flujo en una lnea Ms flujo (ms caudal) Ms temperatura Menos caudal

Ejemplo de causas originadoras


Bloqueo; fallo de bombeo; vlvula cerrada o atascada; fuga; vlvula abierta; fallo de control Presin de descarga reducida; succin presurizada; controlador saturado; fuga; lectura errnea de instrumentos Fuegos exteriores; bloqueo; puntos calientes; explosin en reactor; reaccin descontrolada Fallo de bombeo; fuga; bloqueo parcial; sedimentos en lnea; falta de carga; bloqueo de vlvulas Prdidas de calor; vaporizacin; venteo bloqueado; fallo de sellado Fallo de bomba; sifn hacia atrs; inversin de bombeo; vlvula antirretorno que falla o est insertada en la tubera de forma incorrecta Entrada de contaminantes del exterior como aire, agua o aceites; productos de corrosin; fallo de aislamiento; presencia de materiales por fugas interiores; fallos de la puesta en marcha Concentracin demasiado baja en la mezcla; reacciones adicionales; cambio en la alimentacin Puesta en marcha y parada; pruebas e inspecciones; muestreo; mantenimiento; activacin del catalizador; eliminacin de tapones; corrosin; fallo de energa; emisiones indeseadas, etc.

MS

Aumento cuantitativo de una variable

MENOS

Disminucin cuantitativa de una variable Menos temperatura Analiza la inversin en el sentido de la variable. Se obtiene el efecto contrario al que se pretende

INVERSO

Flujo inverso

Aumento cualitativo. Se obtiene ADEMS DE algo ms que las intenciones del diseo Disminucin cualitativa. Parte de lo que debera ocurrir sucede segn lo previsto Actividades distintas respecto a la operacin normal

Impurezas o una fase extraordinaria Disminucin de la composicin en una mezcla

PARTE DE

DIFERENTE DE

Cualquier actividad

4. Definicin de las desviaciones a estudiar


Para cada nudo se plantea de forma sistemtica todas las desviaciones que implican la aplicacin de cada palabra gua a una determinada variable o actividad. Para realizar un anlisis exhaustivo, se deben aplicar todas las combinaciones posibles entre palabra gua y variable de proceso, descartndose durante la sesin las desviaciones que no tengan sentido para un nudo determinado. Paralelamente a las desviaciones se deben indicar las causas posibles de estas desviaciones y posteriormente las consecuencias de estas desviaciones. En la tabla anterior se presentan algunos ejemplos de aplicacin de palabras gua, las desviaciones que originan y sus causas posibles.

Curso U.Santiago

Pgina 7

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

5. Sesiones HAZOP
Las sesiones HAZOP tienen como objetivo la realizacin sistemtica del proceso descrito anteriormente, analizando las desviaciones en todas las lneas o nudos seleccionados a partir de las palabras gua aplicadas a determinadas variables o procesos. Se determinan las posibles causas, las posibles consecuencias, las respuestas que se proponen, as como las acciones a tomar. Toda esta informacin se presenta en forma de tabla que sistematiza la entrada de datos y el anlisis posterior. A continuacin se presenta el formato de recogida del HAZOP aplicado a un proceso continuo.
Planta: Sistema:
Nud o Palabra gua Desviacin de la variable Posibles causas Consecuencia s Respuest a Sealizaci n Acciones a tomar Comentario s

El significado del contenido de cada una de las columnas es el siguiente: Columna


Posibles causas Consecuencias

Contenido
Describe numerndolas las distintas causas que pueden conducir a la desviacin Para cada una de las causas planteadas, se indican con la consiguiente correspondencia en la numeracin las consecuencias asociadas Se indicar en este caso: 1. Los mecanismos de deteccin de la desviacin planteada segn causas o consecuencias: por ejemplo, alarmas 2. Los automatismos capaces de responder a la desviacin planteada segn las causas: por ejemplo, lazo de control

Respuesta del sistema

Acciones a tomar

Propuesta preliminar de modificaciones a la instalacin en vista de la gravedad de la consecuencia identificada o a una desproteccin flagrante de la instalacin Observaciones que complementan o apoyan algunos de los elementos reflejados en las columnas anteriores

Comentarios

Ventajas e inconvenientes del mtodo


El mtodo, principalmente cubre los objetivos para los que se ha diseado, y adems:

Es una buena ocasin para contrastar distintos puntos de vista de una instalacin. Es una tcnica sistemtica que puede crear, desde el punto de vista de la seguridad, hbitos metodolgicos tiles. El coordinador mejora su conocimiento del proceso. No requiere prcticamente recursos adicionales, con excepcin del tiempo de dedicacin.

Curso U.Santiago

Pgina 8

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Los principales inconvenientes, pueden ser:

Al ser una tcnica cualitativa, aunque sistemtica, no hay una valoracin real de la frecuencia de las causas que producen una determinada consecuencia, ni tampoco el alcance de la misma. Las modificaciones que haya que realizar en una determinada instalacin como consecuencia de un HAZOP, deben analizarse con mayor detalle adems de otros criterios, como los econmicos. Los resultados que se obtienen dependen en gran medida de la calidad y capacidad de los miembros del equipo de trabajo. Depende mucho de la informacin disponible, hasta tal punto que puede omitirse un riesgo si los datos de partida son errneos o incompletos.

4. DETERMINACION DEL SIL DE CADA FUNCION DE SEGURIDAD


El objetivo de esta fase es definir el SIL requerido para cada SIF para conseguir la adecuada Reduccin del Riesgo hasta un nivel aceptable. El clculo del SIL requerido no es por tanto una medida directa del riesgo del proceso, sino una medida de la disponibilidad del sistema de seguridad que es necesario para mantener los riesgos del proceso en el nivel que hemos fijado como aceptable. Es seguramente una de las fases ms complejas de realizar. El clculo del SIL requerido se puede hacer mediante: Mtodos Cualitativos. Mtodos semicuantitativos Mtodos Cuantitativos. Esta fase tpicamente se realiza inmediatamente despus de la anterior, por lo que estn implicados los integrantes del mismo equipo interdisciplinario. METODOLOGAS CUALITATIVAS Se tratan de tcnicas de anlisis crtico que no recurren al anlisis numrico. Su objetivo principal es identificar: a) Riesgos. b) Efectos: incidentes y accidentes cuando se materializan los riesgos. c) Causas: orgenes o fuentes de los riesgos. Dado que los anlisis cualitativos sirven, muchas veces, como base para otros semicuantitativos o cuantitativos, es importante la calidad de los primeros. A continuacin describiremos uno de los mtodos cualitativos ms frecuentemente utilizados:

Curso U.Santiago

Pgina 9

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Grfico de Riesgo
La aplicacin de la presente metodologa emplea el Grfico que se recoge en la Norma IEC-61511 Parte 3. En dicho grfico se expresa el ndice SIL de acuerdo a la normativa alemana DIN 19250 (que lo clasifica desde AK1 a AK8). Asimismo, se detalla la relacin existente entre el ndice SIL de acuerdo a dicha normativa, y el correspondiente segn las normativas IEC-61508/61511 que consideran el ndice de 1 a 4. El ndice SIL se determina a partir de dicho grfico, valorando de forma cualitativa los siguientes cuatro parmetros: - Consecuencias (C): C1: Daos mnimos C2: Daos serios/permanente a una o ms personas. C3: Muerte de varias personas. C4: Muerte de muchas personas. - Frecuencia o tiempo de exposicin (F): F1: Raro o poco expuesto en la zona de riesgo. F2: Frecuente a permanente en la zona de riesgo. - Posibilidad de evitar el evento (P): P1: Posible en determinadas circunstancias. P2: Casi imposible. - Probabilidad de ocurrencia del evento (W): W1: Poco probable. W2: Probable. W3: Muy probable.

Curso U.Santiago

Pgina 10

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

METODOLOGAS SEMICUANTITATIVAS Se tratan de tcnicas de anlisis crticos que emplean ndices globales del potencial de riesgo estimados a partir de las estadsticas. Estas pueden ser de disposicin general o procedentes de la experiencia de las compaas en el diseo y la operacin de plantas semejantes a las que se trata de enjuiciar.

Curso U.Santiago

Pgina 11

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Grfico de Riesgo Calibrado


El grfico de riesgo que se expone a continuacin (IEC 61511 parte 3) a ttulo de ejemplo, es el denominado como de Seguridad de personas (Graph Risk) y es el usualmente utilizado para la determinacin del SIL por ser casi siempre el ms restrictivo. Existen asimismo el relativo a medio ambiente y al de daos econmicos. Este grfico esta personalizado (calibrado) de una determinada manera que se explica a continuacin:

W3
C1

W2
1 2 3 4 5 6 7

W1

1
P1 F1 P2

a 1 1 2 3 3 4 h

a 1 1 2 3 3 4

1 2 3 4 5 6

a 1 1 2 3 3

2 3 4 5 6 7 8

C2 F2

P1

P2

F1 C3 F2

C4

Nota: a : SIF sin requerimiento de SIL - : Sin requerimiento de SIF h : Es necesario rediseo del sistema

Donde: W : Es la frecuencia probabilidad de un evento no deseado pudiendo adoptar los siguientes valores: W1 : No se espera que el evento ocurra durante la vida de las instalaciones W2 : Se espera que el evento ocurra una vez durante la vida de la instalacin W3 : Se espera que el evento ocurra con frecuencia durante la vida de la instalacin C : Es el parmetro de consecuencias pudiendo adoptar los siguientes valores: C1 : Daos menores a una persona que no resultan en vctimas mortales. C2 : Daos graves permanentes mortales a una persona. C3 : Muerte de varias personas C4 : Muerte de muchas personas

Curso U.Santiago

Pgina 12

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

F : Es el parmetro de ocupacin pudiendo adoptar los siguientes valores: F1 : Exposicin rara ocasional en la zona peligrosa (menor del 10%).Este parmetro se suele tomar por defecto. F2 : Exposicin frecuente permanente (ms del 10%). P : Es la probabilidad de evitar las consecuencias del evento peligroso pudiendo adoptar: P1 : Es posible bajo ciertas condiciones. Es necesario justificacin slida. P2 : Casi imposible de evitar el peligro. Este parmetro se toma por defecto. La calibracin (parametrizacin personalizacin) de este tipo de grficos depende de cada empresa. En el captulo de Ejercicios y Problemas los datos de cada uno de estos parmetros estn de acuerdo a REPSOL. Asimismo el dato que sale de este tipo de Matriz no supone el SIL definitivo ya que en algunos casos (depende de cada empresa) estn mejorados y existen unos crditos que lo rebajan (Ejemplos: V.de seguridad, otras SIFs por encima, tiempo suficiente para actuacin del operador tras una alarma, tc. ).Solo si finalmente sale un SIL3 se debe estudiar el tema de forma cuantitativa(anlisis LOPA).

Matrices de Riesgo
La aplicacin de esta metodologa consiste en la valoracin semicuantitativa de la probabilidad de ocurrencia de un accidente y de la severidad de sus consecuencias, para obtener mediante el uso de una Matriz de Riesgo el ndice SIL asociado. Para el uso de esta metodologa, podemos emplear las matrices de riesgo que se recogen en la Norma ANSI-ISA-S84 o en el estndar IEC-61511 . Para ambos casos, la matriz de riesgos se trata de una matriz tridimensional que adicionalmente a la valoracin de la probabilidad de ocurrencia y la severidad de las consecuencias, como tercer eje considera: - La efectividad de los sistemas de proteccin. Norma ANSI-ISA-S84. - Nmero de capas de proteccin excluyendo el SIS que vamos a clasificar. Estndar IEC-61511.

ndice SIL. Matriz de Riesgo segn ANSI-ISA-S84 Curso U.Santiago Pgina 13

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

METODOLOGAS CUANTITATIVAS Son tcnicas de anlisis crticos que incluyen estructuras y clculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso).

Anlisis LOPA o Anlisis de las Capas de Proteccin


De acuerdo a lo analizado en el Captulo 1, las capas de proteccin en una instalacin de proceso se pueden dividir en: - Aqullas destinadas a prevenir el accidente, como pueden ser el sistema de control, las alarmas crticas, las actuaciones por parte del operador y los Sistemas Instrumentados de Seguridad (SIS). - Aqullas destinadas a introducir medidas de mitigacin, como pueden ser los Sistemas Fuego&Gas, los sistemas de alivio, de proteccin fsica, la respuesta de la planta ante emergencia o la respuesta de la poblacin ante emergencia. De entre las metodologas para calcular el ndice SIL reflejadas en los estndares y normativas IEC 61508/61511 y ANSI-ISA-S84, el Anlisis LOPA (Layer of Protection Analysis) o Anlisis de la Capas de Proteccin se presenta como la tcnica ms exhaustiva por su carcter cuantitativo. Dicha tcnica constituye un anlisis objetivo de las distintas capas de proteccin de que dispone un proceso, evaluando el riesgo del mismo y comparndolo con el criterio de riesgo tolerable definido por la propiedad, para decidir si las capas de proteccin son adecuadas o, por el contrario, si es necesario mejorar las existentes o introducir capas adicionales. Por todo ello, el anlisis LOPA se presenta como una tcnica que permite una comparacin directa de la contribucin de las distintas capas de proteccin del proceso a la reduccin del nivel global de riesgo. El mtodo consiste en el desarrollo de las siguientes actuaciones: a) Identificar los eventos iniciadores de sucesos indeseados. b) Listar las causas de cada suceso. c) Estimar las frecuencias de cada evento iniciador. d) Listar las capas de proteccin diseadas o existentes (control de proceso, alarmas, SIS, vlvulas de seguridad, etc). e) Determinar la probabilidad de fallo en demanda de cada capa de proteccin. f) Calcular la frecuencia de todas las rutas que se originan desde el evento iniciador, multiplicando la frecuencia del evento iniciador por cada una de las probabilidades que apliquen. g) Comparar la frecuencia final de resultados indeseados contra el criterio de riesgo tolerable. Si no se cumple con dicho criterio, entonces adicionar capas de proteccin.

Curso U.Santiago

Pgina 14

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

5. DESARROLLO DE LA ESPECIFICACION DE SEGURIDAD


Una vez completada la determinacin del nivel integrado de seguridad ( SIL ) de cada una de las funciones instrumentadas de seguridad (SIF) se debe realizar el Diseo Conceptual del SIS correspondiente. Previamente, el diseador (generalmente la Ingeniera de detalle) deber disponer de una especificacin de los requerimientos de seguridad (SRS) que le posibiliten realizar dicho Diseo Conceptual y posteriormente el Diseo de Detalle. Normalmente esta SRS la realiza el cliente final. Dicha SRS deber como mnimo, contemplar aspectos de tipo general al conjunto del SIS (comunes a todas las SIFs) y los especficos de cada familia de enclavamientos y/o SIFs. Sin carcter excluyente se exponen a continuacin los requisitos generales ms comunes que como mnimo debera incluir la SRS dividindolo en dos apartados uno relativo a los aspectos fsicos (no funcionales) y otro a los puramente funcionales: Requisitos comunes fsicos Se refieren a requisitos comunes fsicos y no funcionales que aplican a los sensores, lgica y elementos finales integrados en un determinado SIS.Se contemplaran entre otros aspectos tales como: Pruebas Formacin Repuestos Estndares y reglamentos de aplicacin Hardware y Software del SIS: armarios de control, tipo de lgica (PLC, Reles, etc.), fuentes de alimentacin, entradas y salidas, cableados, redundancias, respuestas a fallos,etc. Interfases con los sistemas de control, operador, grficos, alarmas, etc. Condiciones medioambientales de los instrumentos del exterior y de los PLCs Preferencia en la seleccin de los elementos iniciadores.Ejemplos:sensores de contacto versus transmisores, transmisores inteligentes con capacidad de autodiagnstico,etc Tipo de lgica: reles, PLCs,etc Uso no de instrumentos asociados a elementos finales para reducir la tasa de fallos peligrosa: Ej.: partial stroke test en vlvulas. Requerimientos a los fabricantes/suministradores de certificados SIL. Requisitos comunes funcionales Como requisitos comunes funcionales a todas la SIFs se detallaran entre otros: Exigir que el diseo no solo contemple la cumplimentacin del SIL sino tambin debe verificarse que la configuracin elegida cumple con el tiempo que se defina de disparo intempestivo no deseado que debe fijarse a cada SIF. El modo de proteccin por disparo no deseado debe ser fail safe (fallo seguro) estando los contactos normalmente cerrados y los reles/bobinas energizadas.
Pgina 15

Curso U.Santiago

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Si se requieren pulsadores para realizar parada manual estos sern cableados fsicamente no desde SCD. En general los SIFs dispondrn de by pass de mantenimiento con alarma en SCD y solo se permitir un by pass por grupo de votacin y a un tiempo. Detallar la poltica de rearmes: manuales, automaticos, en v.solenoides, etc. En general los sensores y elementos finales de campo sern independientes de los de control y la lgica se realizara con PLC redundante que cumplimente SIL 3 Fijar una gua de partida para el diseo del SIS segn SIL (ver tabla como ejemplo).

SIL

Sensores
Se requiere Redundancia de Sensores 1002 (1 de 2) 2003 (2 de 3), dependiendo de los requisitos. Se puede o no requerir redundancia. La opcin inicial es no tenerla. Seleccionar redundancia slo si el clculo del PFDmedio lo requiere

Solucin Lgica
Se requiere PLC Redundante

Elementos Finales
Se requiere redundancia 1002 (1 de 2)
Se puede o no requerir redundancia. La opcin inicial es no tenerla. Seleccionar redundancia slo si el clculo del PFDmedio lo requiere

Se requiere PLC Redundante

Sensor nico

Rel, Estado slido o PLC Simple

Dispositivo nico

Guas para diseo de un SIS basada en los niveles SIL

Requerimientos particulares Asimismo la SRS debe contemplar los requisitos particulares para cada familia de enclavamientos y/o SIFs de manera particular. A ttulo de resumen se debern incluir aquellos puntos que se describen en la siguiente tabla:
tem Documentacin y Requisitos iniciales Diagrama causa-efecto Diagramas lgicos Informacin de proceso de cada evento de peligro potencial que requiere un SIS.(causa del incidente,dinamicas,elementos finales,etc) Requerimiento

Causas de fallos procesales por uso comn de elementos as como corrosin,obstrucin,suciedad,etc Aplicacin ,si procede,de otros estndares y normas que puedan ser de uso en el SIS. Requerimientos funcionales Definir el estado seguro en que debe quedar el proceso para

Requerido. Es suficiente la matriz causa-efecto para describir la lgica. Se precisa una descripcin detallada de cmo las explosiones, fuegos o rotura de tubos pueden ocurrir y de cmo los instrumentos de proteccin pueden prevenir/mitigar estos sucesos. Definir la velocidad de respuesta y precisin del sistema de proteccin as como otros requisitos adicionales (Ej:clase de fuga y diseo a prueba de fuego de las vlvulas de corte) EJ:Uso de la misma placa,stanpipe,tomas,alimentaciones,etc Ej:NFPA en Hornos

Curso U.Santiago

Pgina 16

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

cada uno de los eventos. Elementos iniciadores (entradas del proceso) al SIS y sus puntos de disparo El rango de operacin normal de las variables de proceso y sus lmites de operacin. Elementos finales (salidas de proceso) del SIS y sus acciones. La relacin funcional entre las entradas y las salidas incluyendo la lgica y permisivos. Seleccin de la filosofa de fallo seguro(failure safe) Consideracin del disparo manual Acciones a tener en cuenta si falta alimentacin al SIS Tiempo de respuesta de actuacin del SIS para llevar el proceso al estado seguro Respuesta del operador ante un fallo evidente Interfase de operacin

Fijar contactos normalmente cerrados y vlvulas solenoides y circuitos energizados(en situacin normal) Ej: debern cerrarse todas las vlvulas de corte.

Fijar la informacin que debe tener el operador y en que forma.Alarmas en el SCD dedicadas por cableado normal.Alarmas previas a los disparos.Disparo manual. Disponer de bypases de mantenimiento para cada SIF y de puesta en marcha si procede.Todos los bypases tendrn alarma en el SCD.

Funciones de rearme Bypases

Requerimientos de seguridad integral Listar todas las funciones instrumentadas de seguridad(SIFs) y el SIL de cada una de ellas Requisitos de funciones de diagnstico de los elementos de campo para lograr el SIL requerido

Requerimientos operacin , mantenimiento y verificacin del SIS y su SIL asociado

Los sensores de campo inteligentes (transmisores, posicionadores,etc) disponen de capacidad de auto diagnosis y posibilidades de configurar acciones y alarmas.Hacer,por ej.que si el sensor falla su seal vaya al mximo valor y dar alarma en el SCD.Proporcionar finales de carrera en las vlvulas de corte y ,si procede,un verificador de apertura parcial(partial stroke test). Fijar la frecuencia de prueba y verificacin.

Fijar requisitos de fiabilidad de disparos intempestivos y su peligrosidad

La cantidad de disparos intempestivos deber calcularse para comprobar el cumplimiento del Hazop

RESUMEN DE LA INFORMACION A INCLUIR EN LA ESPECIFICACION DE REQUERIMIENTOS DE SEGURIDAD (SRS) para cada familia de enclavamientos (SE) OBTENIDA EN LAS SESIONES HAZOPS/DETERMINACION SIL

6. DISEO CONCEPTUAL DEL SIS Y VERIFICACION DEL SIL DE CADA FUNCION


El objetivo de esta fase es desarrollar un diseo inicial del SIS que cumpla con los requisitos de seguridad y alcance el SIL requerido o establecido como objetivo. Asimismo dicho diseo deber cumplimentar los requerimientos del tiempo prescrito de disparo intempestivo no deseado. Para este primer borrador de la configuracin instrumentada de cada SIF se tendrn en cuenta todos los datos contemplados en la SRS. Durante esta fase, por tanto, se seleccionar la tecnologa, la arquitectura, los intervalos de prueba, etc, teniendo en cuenta factores tales como el presupuesto, el tamao de la aplicacin, la complejidad, la velocidad de respuesta, la poltica de puenteos, los requisitos de comunicaciones, la interfaz con el operador, etc.
Curso U.Santiago Pgina 17

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Esta fase entra de lleno en la responsabilidad del especialista de instrumentacin de la Ingeniera de detalle. Asimismo se debe realizar en esta fase del ciclo de vida de un SIS es la de verificar que el diseo conceptual responde a las necesidades del SIL especificado para cada SIF. Asimismo se comprobar que dicho diseo est de acuerdo con el tiempo definido de disparo intempestivo. Para ello existen frmulas adecuadas de clculo de probabilidad de fallo en demanda para comprobacin del cumplimiento del SIL y otras de tiempo medio entre fallos (MTTF) para el disparo intempestivo. Dependiendo de los tipos de instrumentos seleccionados y de la configuracin elegida se utilizar la formula que corresponda para el clculo existiendo programas informatizados de ayuda en el mismo. Ej: Exida dispone del programa denominado SILVER (SIL VERification). Las formulas dadas a continuacin son de tipo bsico y estn basadas en una simplificacin del los modelos de Markov que usa el programa SILVER y normalmente son suficientemente aproximadas para poder ser usadas en las correspondientes verificaciones.

Frmulas del clculo del nuisance trip (disparo latoso y falso no demandado) 1oo1 1oo2 2oo2 2oo3 1/s 1/ (2*s) 1/ ( 2*(s) *MTTR) 1/ ( 6*(s) *MTTR)

Donde: MTTR=tiempo medio de reparacin (mean time to repair) =tasa de fallo (1/MTBF) s =fallo seguro s =fraccin de tasa de fallo segura

Frmulas de clculo PFDmedia para instrumentos con deteccin de fallos (autodiagnosis) 1oo1 1oo2 2oo2 2oo3 d * (MTTR+ (TIa/2 ) ) 2 * (d) * (MTTR+ (TIa/2) ) 2 * (d) * (MTTR+ (TIa/2) ) 6* (d) * (MTTR+ (TIa/2) )

Donde: TIa MTTR d d =Intervalo de diagnstico automtico (usualmente insignificante) = tiempo medio de reparacin =tasa de fallo (1/MTBF) =fallo peligroso = fraccin de tasa de fallo peligrosa
Pgina 18

Curso U.Santiago

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Frmulas de clculo PFDmedia para instrumentos sin deteccin de fallos (fallos no detectados).

1oo1 1oo2 2oo2 2oo3

d * (TI/2) ( (d) * (TI)) /3 d *TI (d) * (TI)

Donde: TI es el intervalo de prueba manual Dependiendo del tipo de elemento/instrumento pueden existir parte de las tasas de fallo peligrosas y seguras que sean detectadas y otras que no. En este caso se aade otro subndice a d y a s con las letras u (undetected) y d(detected). Por ltimo aadir que tanto IEC 61508 como IEC 61511 establecen una mnima tolerancia de fallo de Hardware (HTF) ligada al fraccin de fallo segura, tanto para la lgica como para los sensores y elementos finales, para el cumplimiento de un determinado SIL con independencia del clculo de la PFDmedia y esto puede depender asimismo del tipo de elemento (A B). Para un mejor entendimiento de este tema se ha aadido a la presente documentacin del curso el documento de EXIDA referente a las Limitaciones de Arquitectura. El tema 5 de este mdulo recoge un ejemplo prctico donde veremos como se aplican dichas frmulas. Una vez comprobado lo anterior da comienzo el diseo de detalle propiamente dicho.

7. DISEO DE DETALLE DEL SIS


Durante el mismo se deben realizar una serie de tareas, por parte de la Ingeniera de detalle, que conllevarn finalmente a disponer de todo lo necesario para poder realizar el montaje e instalacin. En principio se debern revisar las listas de instrumentos para asegurarse que estn incluidos todos los necesarios en la configuracin del SIS.Se revisarn los P&Ids para actualizarlos y se realizarn las requisiciones y rdenes de compra de todos los instrumentos y materiales necesarios de acuerdo a la SRS y al resto de especificaciones aplicables. El diseo, asimismo, debe incluir al menos la siguiente informacin: Documentos de Configuracin de los equipos. Documentos de Prueba de los equipos (FAT Y SAT). Documentos de cableado e instalacin de los equipos. Documentos de Operacin / Mantenimiento de los equipos. Documentos de Verificacin de los equipos. Esta fase es responsabilidad del especialista de instrumentacin de la Ingeniera de detalle. 8. INSTALACION, PRUEBAS Y COMISIONADO DEL SIS El primer objetivo de esta fase es asegurar que el sistema se comporta conforme a los requisitos de la Especificacin de seguridad. Para ello, se deben realizar las siguientes pruebas:
Curso U.Santiago Pgina 19

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Pruebas FAT (Factory Acceptance Test). Tpicamente sern pruebas del operador lgico y de la interfase del operador con independencia del tipo de tecnologa que se este utilizando.Incluso si la lgica del sistema se hace con reles consiste en un PLC de cientos de entradas/salidas dicho sistema debera ser probado en la fbrica del suministrador antes de ser enviado a planta. El FAT se considera parte de la fase de instalacin ya que las personas involucradas en el montaje y pruebas son las que deberan realizar dicho FAT. Normalmente las pruebas se realizan como mnimo: Todo el hardware de la lgica del sistema, incluyendo los mdulos I/O, terminales de entrada/salida, cableado interno, mdulos de comunicacin, interfase de operador,etc. Redundancia Software tanto el de operacin como el de aplicacin. Dicho FAT debe estar basado en un procedimiento bien documentado el cual debe estar por el vendedor y el usuario. Asimismo dicho FAT debera ser realizado usando los siguientes mtodos: Inspeccin visual Generando entradas (digitales, analgicas, T/C, pulsos y observando las correspondientes respuestas Dirigir las salidas, usualmente digitales y/o 4-20ma. Creando escenarios de posibles fallos y ver los sistemas de apoyo/redundancia. La Instalacin cubre el montaje en planta de todos los equipos asociados con el SIS y la realiza el contratista de montaje de Instrumentos/Electricidad. Se incluye los sensores, elementos finales, cableado de campo, cajas de unin y derivacin, cabinas, PLC, interfase de operador, alarmas, y cualquier otro hardware asociado al SIS. Durante la fase de Ingeniera de detalle se habrn generado los documentos y planos, de acuerdo a las especificaciones que sean aplicables y a la SRS, que servirn al contratista para realizar adecuadamente su trabajo a modo de resumen se describen a continuacin unos requisitos generales de instalacin: Usualmente los trabajos de instalacin de los SIS forma parte del trabajo global del Montaje de Instrumentos/Electricidad y lo puede realizar el mismo contratista. Puede ser interesante la consideracin de formar un equipo independiente para realizar los trabajos de montaje de los SIS. Esto puede minimizar los errores de montaje de causa comn y reforzar la importancia y criticidad de este tipo de trabajo optimizando los esfuerzos en formacin y pruebas. Asegurarse que el contratista dispone de toda la informacin y documentacin as como que los profesionales que van a realizar los trabajos de instalacin tienen la formacin y experiencia adecuadas. Todo el equipo y la propia instalacin deben cumplir con las especificaciones y cdigos/normas que le sean aplicables y el contratista debe asegurarse de cumplirlas. El material suministrado por el contratista debe ser de superior calidad siendo ,si procede, necesario darle las especificaciones de detalla necesarias. Estar seguros que todos los elementos de campo son montados en sitios accesibles para operacin/mantenimiento.

Curso U.Santiago

Pgina 20

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Asegurarse que el contratista no realiza ningn cambio a los ajustes y puntos de actuacin de los instrumentos de campo. Antes de la instalacin, debe ponerse especial cuidado en la proteccin de los instrumentos de las condiciones medioambientales peligros fsicos. El contratista no debera realizar ningn tipo de cambio en los diagramas y planos sin la previa autorizacin escrita. Estos cambios deberan ser registrados en la documentacin final.

Terminada la instalacin propiamente dicha y antes del SAT deben realizarse una serie de chequeos de dicho montaje.Estos chequeos nos asegurarn que el SIS se ha instalado de acuerdo con lo fijado por la Ingeniera de detalle y est preparado para el SAT. Estos chequeos de instalacin suelen dividirse en dos partes: 1. Chequeos Fsicos: Este chequeo sirve para comprobar que todos los elementos de campo estn fsicamente instalados,cableados,etiquetados,etc.Asimismo se comprobar su correcto montaje e identificacin.A tal efecto se deben preparar unos formatos que faciliten dicho chequeo y que dispongan de todos los campos a chequear.Esta parte normalmente la realiza el propio contratista. 2. Chequeos Funcionales: Se trata de unas pruebas funcionales tanto de los elementos de campo como de la lgica una vez que se dispone de los equipos alimentados electricamente.Con este tipo de chequeo se debe confirmar: Las fuentes de energa son operativas. Todos los instrumentos estn adecuadamente calibrados. Los elementos de campo estn operativos. La lgica y las I/O estn asimismo operativas. Esta parte la puede completar el contratista un grupo de trabajo independiente. Una vez completados los chequeos anteriores se debe realizar el SAT (Site Acceptance Test) a veces tambin llamado PSAT. Tpicamente sern pruebas del sistema completo (sensores, operadores lgicos, actuadores, servicios, etc.) en la propia Planta. ANSI/ISA e IEC describen el SAT como un test que posibilita una completa prueba de la total funcionalidad del SIS de acuerdo a la SRS.A estos efectos el SAT incluir sin ser limitativo, a confirmar lo siguiente: Comunicaciones del SIS con el BPCS (basic process control system) cualquier otro sistema red de comunicacin. Sensores, lgica y elementos finales de control funcionan segn lo explicitado en la SRS. Todos lo elementos de seguridad actan en los valores especificados. Que en cada caso se activa la secuencia correcta de disparo. El SIS proporciona la adecuada informacin para operacin y mantenimiento por medio de visualizaciones y alarmas. Que las funciones de reset funcionan segn lo diseado. Que los bypases previstos de operacin y/o mantenimiento funcionan correctamente. Que los disparos manuales actan de forma correcta. Que los procedimientos de mantenimiento y test funcionales son los adecuados.
Curso U.Santiago Pgina 21

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Que toda la documentacin del SIS es consistente con los procedimientos de instalacin, pruebas y mantenimiento.

Para la realizacin del SAT se requiere una serie de documentos que depender de la complejidad de dicho SIS.Es esencial disponer de un procedimiento detallado para la realizacin de dicho SAT.Al menos el siguiente tipo de documentacin es necesaria para soportar la realizacin del SAT: Copia de la SRS. Copia y listado del programa del PLC. Diagrama de bloques del sistema. Lista de I/O con direcciones fsicas. P&Ids Lista de instrumentos. Hojas de las requisiciones de los instrumentos. Diagramas de lazo. Esquemas elctricos. Configuraciones en el DCS para las I/O del SIS. Diagramas causa/efecto Esquemas de montaje. Diagramas de cableado de cajas y cabinas. Diagramas de interconexin . Diagramas neumticos. Manuales del vendedor incluyendo requerimientos de instalacin y manuales de operacin/mantenimiento.

Esta fase del ciclo de vida del SIS se sumariza en el siguiente diagrama:

Curso U.Santiago

Pgina 22

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

La ejecucin de esta fase compromete a recursos del suministrador del instalador as como de la empresa de supervisin del montaje y del propio cliente final.

Curso U.Santiago

Pgina 23

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

9. MANTENIMIENTO Y EXPLOTACION DE LOS SIS


Para lograr un funcionamiento correcto, cada Sistema Instrumentado de Seguridad requiere un mantenimiento peridico mediante inspecciones , pruebas y chequeos que deben estar proced mentadas y documentadas. Como veremos ms adelante, la mayor prioridad es la realizacin de las pruebas funcionales online del conjunto de todos los elementos de cada funcin instrumentada del SIS.Este tipo de test es la actividad ms crtica de un buen Mantenimiento preventivo. La frecuencia de dichas pruebas funcionales del SIS se fijan durante el diseo del ciclo de vida del mismo y dependen de la solucin final de la configuracin de cada funcin instrumentada de seguridad que satisfaga el SIL especificado a cada una de ellas. Dada la importancia de esta actividad se ha incluido en esta documentacin un ejemplo prctico de las mismas. Como se ha visto con anterioridad, un SIS constituye la ltima capa de prevencin de Seguridad.Si esta capa no responde a los requerimientos de su diseo se produce el evento indeseado de fuga, incendio, explosin, etc con los riesgos que esto puede conllevar en la seguridad personal, medio ambiente y daos industriales (mantenimiento y produccin). Al igual que en el resto del Mantenimiento de equipos de planta, se debe garantizar una disponibilidad funcional del conjunto de los elementos que conforman cada una de las funciones instrumentadas de seguridad (SIF) en estricto acuerdo con el nivel integral de seguridad (SIL) especificado a cada una de ellas durante la fase de determinacin del SIL (2 paso del ciclo de vida de un SIS). Cuando se disea un SIS, no existe una nica solucin que satisfaga el SIL de cada funcin. Normalmente se trata de encontrar una solucin que equilibre adecuadamente el coste de la inversin inicial con la exigencia de realizacin frecuente de pruebas funcionales en operacin normal (on-line) lo que conllevara a un esfuerzo y costos elevados de Mantenimiento. En cualquier caso la importancia del correcto mantenimiento de los SIS es vital para garantizar la adecuada disponibilidad del mismo. A tal efecto, y a ttulo de ejemplo, el Organismo Ejecutivo de Seguridad y Salud de Inglaterra (HSE) encontr que una gran mayora de accidentes industriales se producen por fallos en los Sistemas Instrumentados de Seguridad y que de ellos el 15% son debidos a problemas de un inadecuado Mantenimiento de los mismos. Un paso importante a considerar durante el diseo del ciclo de vida de un SIS es el relativo a las comprobaciones que se deben de realizar para asegurarse que se han tenido en cuenta todos los aspectos operacionales y de Mantenimiento que afecta a un determinado SIS.Algunos procedimientos y prcticas que deben chequearse durante el diseo son:
Item Ha recibido el personal involucrado SI formacin y entrenamiento en los procedimientos de operacin y mantenimiento del SIS ? Estn todos los procedimientos SI
Curso U.Santiago

Comentarios NO N/A

NO

N/A
Pgina 24

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

adecuadamente documentados ? Existen los manuales de usuario de mantenimiento/operacin del sistema ? Asegurarse que en los manuales se describe: a)Los lmites de operacin segura y las implicaciones de excederlos b)Como el Sistema lleva a el proceso al estado seguro? c)El riesgo asociado con fallos en el Sistema y las acciones requeridas para los diferentes fallos? Existen medios para limitar el acceso solo al personal autorizado? Se han previsto medios para bypasear las funciones de seguridad (SIFs)? Existen procedimientos documentados para el control y eliminacin de los bypases? Existen procedimientos documentados para asegurar la seguridad durante el mantenimiento en operacin del SIS ? Estn suficientemente detallados los procedimientos de Mantenimiento para no dejar al aire interpretaciones y decisiones ? Estn definidas las actividades de Mantenimiento y programadas en el tiempo, de todas las partes de un SIS? Est fijada la periodicidad de la revisin de los procedimientos? Existen medios para comprobar el tiempo de las reparaciones? Hay procedimientos de mantenimiento y operacin tendentes a minimizar las causas de fallos de efecto comn? Es la documentacin consistente con los procedimientos?

SI

NO

N/A

SI SI SI

NO NO NO

N/A N/A N/A

SI SI SI SI

NO NO NO NO

N/A N/A N/A N/A

SI

NO

N/A

SI

NO

N/A

SI SI SI

NO NO NO

N/A N/A N/A

SI

NO

N/A

La prueba funcional peridica de cada funcin instrumentada de un SIS es una actividad esencial para garantizar la integridad de un SIS, ya que constituye el nico camino para asegurar que el nivel SIL de cada SIF se mantiene en el tiempo.El test tiene que incluir a la totalidad del sistema lo que significa probar sensores, lgica, elementos finales as como cableado y alarmas asociadas.Lo habitual es que esta prueba se realice simultneamente a todos los elementos, aunque no es estrictamente necesario, pudiendo hacerlo por partes en tiempos diferentes que deben ser tenidos en cuenta en las formulas correspondientes.Asimismo dichas pruebas funcionales debern basarse en procedimientos escritos con objetivos y responsabilidades perfectamente claros y definidos.

Curso U.Santiago

Pgina 25

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Estas pruebas funcionales deben ser realizadas en lnea (on-line) bien con la planta en servicio en parada programada y constituyen el mejor Mantenimiento Preventivo de los SIS. Un beneficio asociado en la realizacin de estas pruebas en lnea es el incremento del conocimiento de cada SIS por parte del personal de Mantenimiento y Operacin. Asimismo, la necesidad de esta pruebas funcionales on-line para comprobar la correcta operacin del SIS, es cumplimentar los requerimientos de organismos competentes en el tema tal como ISA, IEC y OSHA. A continuacin, daremos una serie de Guas Generales que deben tenerse en consideracin para estas pruebas funcionales: La frecuencia de realizacin de las pruebas funcionales online debe satisfacer los requerimientos del SIL asignado a cada SIF.Esto significa que una vez decidida, durante el Diseo Funcional del SIS, una determinada configuracin que cumplimente el SIL de cada SIF, el tiempo (frecuencia de realizacin) de prueba que se haya considerado en la frmula de clculo de la probabilidad de fallo en demanda debe ser respetado para mantener el SIL requerido en todo momento. Si la frecuencia de realizacin del test funcional en lnea obliga a su ejecucin con la planta en funcionamiento, el diseo deber contemplar todas las facilidades que permitan realizarlo siendo accesibles todos los elementos e instrumentos involucrados en el mismo. Si existiese imposibilidad de probar con la planta en funcionamiento algn elemento del SIS (Ej.una vlvula de corte, un interruptor elctrico, etc) deber considerarse una configuracin (adecuada redundancia) que con una frecuencia de test equivalente al tiempo entre paradas programadas (Ej.4 aos) satisfaga el SIL requerido.Esto permitira mantener la disponibilidad del SIS durante el funcionamiento normal de la planta y realizar la prueba funcional online durante la parada programada. Es imprescindible disponer de los procedimientos escritos, para cada prueba funcional, los cuales deben realizarse durante el diseo del SIS y finalizarlos durante la fase de comisionado. El test es necesario para confirmar la correcta operacin del sistema y debe incluir sensores, lgica, elementos finales, alarmas, alimentaciones, cableados, etc. Todos los SIS deben ser probados antes de la puesta en marcha de la planta para asegurarse la identificacin de cualquier cambio realizado en el montaje y/o comisionado. Para estas pruebas funcionales debe minimizarse el uso de los interruptores de bypass de mantenimiento.En cualquier caso, si estos interruptores son instalados las entradas para informacin y alarmas no deberan bypasearse.Asimismo dichos bypases debern tener sus correspondientes alarmas de activacin. Debe evitarse simular entradas y/o salidas en la lgica del sistema (forzar entradas y salidas).Esto vale para pruebas de mantenimiento cuando el sistema esta fuera de servicio pero no para los tests funcionales.
Pgina 26

Curso U.Santiago

Sistemas Instrumentados de Seguridad

Tema: Ciclo de vida de seguridad

Con una periodicidad anual debera revisarse la eficacia de los programas de tests funcionales.Esto debera incluir la revisin de los procedimientos, frecuencias de prueba, anlisis de los problemas encontrados, etc.

10.MODIFICACIONES
El objetivo de esta fase es asegurar que todo cambio en el SIS se realiza siguiendo el mismo procedimiento que en la primera implementacin. La gestin del cambio implicar que ante cada cambio, se deber volver a la fase adecuada en el ciclo de vida del SIS. Todo cambio ser debidamente documentado. Por ello es fundamental tener un estricto control de toda la documentacin. Cualquier modificacin y/o reparacin realizada en un SIS conllevar la realizacin de la correspondiente prueba funcional.

Curso U.Santiago

Pgina 27

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

RELACION ENTRE LOS SISTEMAS DE CONTROL Y LOS DE SEGURIDAD

Sistemas Instrumentados de Seguridad Tema: Relacion entre los sistemas de control y los de seguridad

RELACION ENTRE LOS SISTEMAS DE CONTROL Y LOS DE SEGURIDAD


ndice
INTRODUCCION SENSORES DE CAMPO PLATAFORMAS DE LGICA ELEMENTOS FINALES DE CONTROL CABLEADO INTERFASE DE MANTENIMIENTO Y OPERACIN 3 4 4 5 5 6

Curso U.Santiago

Pgina 2

Sistemas Instrumentados de Seguridad Tema: Relacion entre los sistemas de control y los de seguridad

INTRODUCCION
En el pasado, la instrumentacin utilizada para realizar el control del proceso era de tipo neumtica analgica siendo los lazos PIDs implementados en controladores de lazo simple (un controlador fsico para cada lazo de control).Las funciones de seguridad utilizaban sensores locales de contacto (presostatos, nivostatos, etc) lgica a base de reles y los elementos finales solan ser las mismas valvulas que ejecutaban el control. Los modernos sistemas de control distribuido(SCDs) comenzarn a reemplazar a los controladores de lazo simple a finales de la decada de los 70.Asimismo los controladores lgicos programables (PLCs) comenzaron a reemplazar a los reles electromgneticos a finales de los 60.Ya que tanto los SCDs como los PLCs disponan de software de programacin se considero por mucha gente las ventajas de usar la misma plataforma para realizar ambas funciones (control y seguridad) siendo en este sentido preferido el SCD. Los beneficios de usar la misma plataforma incluan tener una misma fuente de alimentacin, comunicaciones integradas, reduccin de repuestos y formacin as como costes ms reducidos.tambin se argumentaba que la fiabilidad y redundancia de los modernos SCDs era tan buena que permita sin problemas dicha combinacin. No obstante tanto los estandares internacionales como las propias especificaciones de los usuarios finales y las buenas prcticas recomiendan la separacin de los dos sistemas. A este respecto conviene constatar una diferencia fundamental entre los Sistemas de Control y los de Seguridad para poder visionar con cierta claridad la razn de su separacin. Los Sistemas de control de proceso son sistemas activos y dinmicos.Estn continuamente funcionando y cualquier fallo es facilmente detectable ya que el sistema deja de trabajar no necesitando excesivo diagnstico para la deteccin de tales fallos. Por el contrario los Sistemas de seguridad son pasivos estando normalmente dormidos sin realizar accin ninguna.Un ejemplo es el de una vlvula de seguridad.Normalmente la vlvula est cerrada.Si la presin nunca excede de su ajuste la vlvula jams abrir.Muchos fallos de estos sistemas no son auto indicativos as si la vlvula est obstruida no lo sabremos ya que no hay indicacin de tal evento y el problema se presentar cuando necesite evacuar en su apertura.Esto se complica ms en otros elementos asociados a los sistemas de seguridad (PLCs, v.solenoides, sensores, etc) obligando a realizar diseos fail safe (llevar el proceso a condicin segura caso de algn fallo en cualquier elemento) y/o usar instrumentos con gran capacidad de autodiagnstico. Asimismo, los sistemas de control de procesos deben ser muy flexibles para permitir frecuentes cambios as como configuraciones y ajustes lo que conlleva con cierta frecuencia a realizar determinados bypases y controlar el proceso en manual.Por el contrario los Sistemas Instrumentados de Seguridad deberan disearse para la mnima intervencin humana y limitar sus cambios y modificaciones.Es necesario tener claro que la intervencin humana debe terminar en la capa de seguridad de la Gestin de alarmas y que todos conocen que la ltima capa de seguridad es el SIS y esta debe ser lo ms automatizada posible con accesos restringidos a la misma y mnimos bypases (solo para funciones de mantenimiento ).

Curso U.Santiago

Pgina 3

Sistemas Instrumentados de Seguridad Tema: Relacion entre los sistemas de control y los de seguridad

SENSORES DE CAMPO
Se recomienda el uso de sensores de campo independientes y preferiblemente utilizando conexiones al proceso independientes. Sin embargo se pueden utilizar sensores comunes siempre que el fallo del propio sensor no produzca precisamente una situacin peligrosa a travs de la accin de control. En la prctica esto solamente suele ser factible para funciones con SIL= 1. La conexin adicional de los sensores del SIS al SCD ofrece la posibilidad de contraste con los sensores del SCD y por lo tanto mejora la cobertura de los diagnsticos. Conviene dejar claro en la SRS la preferencia del tipo de elementos iniciadores (sensores) que deben utilizarse para tenerlo en cuenta en el diseo conceptual de cada SIF.Esto es ms importante cuando queremos alcanzar cumplimientos de SIL altos con un solo instrumento iniciador.La tendencia actual es usar como sensores transmisores inteligentes con posibilidades de un cierto autodiagnstico de fallos y con tasas de fallo ms bajas (MTBF grandes) los cuales permiten indicaciones remotas de la propia variable de proceso.Explicitando las condiciones puede ser interesante tener certificados SIL de dichos instrumentos aunque esto no es completamente indispensable.

PLATAFORMAS DE LGICA
A este respecto los estndares de los SIS (ISA e IEC) recomiendan la total separacin e independencia de las funciones de los SIS y las funciones de los SCD para que la integridad de la seguridad no se vea comprometida. En general, las razones de la separacin son las siguientes: Reducir los efectos del SCD sobre los equipos compartidos. Facilitar las operaciones del SCD (flexibilidad en los cambios, mantenimiento, pruebas, documentacin, etc.) para no tener que seguir procedimientos tan rgidos. Disminuir la complejidad del SIS para facilitar la validacin de la seguridad funcional.

La separacin fsica de los diferentes elementos no es obligatoria siempre que la independencia asegure que el SIS no se vera afectado por: Fallos en el SCD Operaciones (mantenimiento, configuracin, operacin, etc.) realizadas en el SCD.

La independencia de elementos del SIS y el SCD es muy compleja en aplicaciones muy interrelacionadas (por ejemplo mquinas). Sin embargo, en sistemas con lgica sencillo y/o pocas actuaciones (por ejemplo sistemas de Fuego y Gas) no suele presentar demasiadas complicaciones o incluso no ser imprescindible. Se recomienda el uso de plataformas de lgica independientes (tanto en CPU como en tarjetas de E/S). Sin embargo se pueden tener aplicaciones de seguridad y de control en la misma CPU siempre que dichas aplicaciones sean estancas. En la prctica, las CPU del SCD no suelen alcanzar los requerimientos mnimos exigibles (tasa de fallos, cobertura de diagnsticos, fraccin de fallos seguros, etc.) para aplicaciones con un SIL 1.
Curso U.Santiago Pgina 4

Sistemas Instrumentados de Seguridad Tema: Relacion entre los sistemas de control y los de seguridad

Asimismo conviene fijar en la SRS el tipo de plataforma de lgica a utilizar.Actualmente se tiende a usar modernos PLCs redundantes (TRICONEX, FSCs, etc) certificados para SIL 3 (los fabricantes deben dar la PFD de dicho PLC y el tiempo medio de reparacin requerido para dicha PFD).Esto posibilita el uso de dicos PLCs (nica plataforma) para cualquier funcin instrumentada de seguridad (SIF) con independencia del SIL de cada una de ellas.

ELEMENTOS FINALES DE CONTROL


Se recomienda el uso de actuadores independientes. Sin embargo se pueden utilizar actuadores comunes siempre que el fallo del propio actuador no produzca precisamente una situacin peligrosa a travs de la accin de control y siempre que la seal al actuador procedente del SIS tenga preponderancia sobre la seal procedente del SCD. En la prctica esto solamente suele ser factible para funciones con SIL= 1. Cuando el elemento final es una vlvula de corte conviene dejar claro en la SRS la clase de fuga, la velocidad de respuesta y el tipo de vlvula solenoide asociada.A veces se especifica el uso de partial stroke test con el objetivo de bajar la tasa de fallo peligrosa y minimizar la PFD.La certificacin SIL para estos elementos es muy difcil conseguirla por la casi imposibilidad de tener cuantificados los tipos de fallo por parte del fabricante.Por tanto si algn fabricante asume una posible certificacin tendr que especificar con absoluta claridad las condiciones de la misma. Cuando los elementos finales de una SIF son del tipo interruptor elctrico el tema es ms complejo y puede requerir un anlisis ms pormenorizado del asunto.

CABLEADO
Se recomienda el uso de cajas y multicables independientes para seales del SCD y del SIS. Esta recomendacin se torna en obligatoria cuando se trata de SIS con configuracin energizada para disparo. Las bandejas, conduit y similares pueden ser comunes. La separacin entre el SCD y el SIS puede realizarse de dos formas: Identidad. Utilizando el mismo tipo de elementos que en el SCD. Tiene ventajas desde el punto de vista del diseo y el mantenimiento pero desventajas desde el punto de vista de los errores sistemticos o fallos por causa comn (corrosin, erosin, errores de software, fallos de alimentacin, obstruccin de lneas de impulsin, etc.). Diversidad. Utilizando elementos de otro fabricante, de otra tecnologa o que usen otro principio de operacin o medida. Tiene ventajas porque disminuye los errores sistemticos pero desventajas porque pueden aumentar los errores de mantenimiento.

Cuando los sistemas estn combinados, las condiciones de arranque, disparo o parada existen dentro del mismo espacio del PLC, la determinacin de cual es el estado actual es tan simple como mirar un registro. Cuando los sistemas estn separados, las comunicaciones entre el SIS y el SCD son extremadamente importantes. La velocidad y fiabilidad de las comunicaciones es esencial para una operacin suave. Tambin puede tener un impacto significativo en la complejidad y el coste del SIS, debido a la cantidad de puntos que se requiera comunicar.
Curso U.Santiago Pgina 5

Sistemas Instrumentados de Seguridad Tema: Relacion entre los sistemas de control y los de seguridad

INTERFASE DE MANTENIMIENTO Y OPERACIN


La interfase de Operacin es el medio por el cual el operador se comunica con el SIS. La interfaz de operacin puede ser comn para el SCD y los sistemas de seguridad instrumentados. Sin embargo, no debern ser comunes aquellas interfaces en las que el operador sea una parte de la funcin de seguridad (por ejemplo un disparo que necesite la autorizacin adicional del operador mediante un pulsador). Interfases de operacin tpicas son: pantallas, paneles de lmparas y pulsadores, anunciadores e impresoras. La especificacin de diseo del sistema de seguridad, debe explicitar claramente las informaciones que por su relevancia deben ser mostradas al operador as como la forma de mostrarlas. Especial importancia tiene todas las seales informativas sobre el status de las diferentes partes del SIS. Es muy importante no sobrecargar de informacin al operador y proporcionar, si procede, programas estticos y dinmicos que optimicen la misma.

La iterfase de Mantenimiento es el medio por el cual se realizan las modificaciones en el SIS. Debe ser una interfaz independiente para cada SIS y no debe usarse como interfaz de operacin. Debe tener unos protocolos de seguridad muy estrictos por que tendr acceso a todos los parmetros de configuracin del sistema (hardware y software).

Curso U.Santiago

Pgina 6

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

REALIZACION DE UN CASO PRACTICO

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

REALIZACION DE UN CASO PRACTICO


ndice 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. INTRODUCCION SISTEMA DE PARADA DE EMERGENCIA DE UN HORNO DESCRIPCION DE LOS CONTROLES BASICOS ALCANCE DEL ANALISIS DETERMINACION DEL SIL ESPECIFICACION DE REQUERIMIENTOS DE SEGURIDAD (SRS) DISEO CONCEPTUAL DEL SIS COSTES DEL CICLO DE VIDA VERIFICACIN DEL SIS VERSUS SIL DISEO DE DETALLE DEL SIS INSTALACION,COMISIONADO Y PRUEBAS DEL SIS PROCEDIMIENTOS DE OPERACIN Y MANTENIMIENTO SUMARIO 3 3 4 5 5 5 8 10 11 14 14 14 16

Curso U.Santiago

Pgina 2

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

1. INTRODUCCION El caso que vamos a resolver en este captulo pretende ser un ejemplo ilustrativo de cmo todo lo estudiado hasta el momento puede ser usado para especificar, disear instalar, comisionar y mantener un tpico Sistema Instrumentado de Seguridad (SIS).Para lograr los objetivos se seguira el modelo del Ciclo de Vida de un SIS. A medida que se avance en el caso y se vayan revisando las diferentes soluciones, seremos capaces de entender las tcnicas y conceptos as como valorar la importancia de tener una buena documentacin y resolver las dudas y malos entendidos.Asimismo, este captulo puede ser una gua adicional y ser muy til a todos aquellos que estan involucrados en especificar y disear Sistemas de seguridad. Finalmente, se aclara que los controles y la instrumentacin usada como proteccin en este caso son simplificaciones que sirven tan solo al propsito del estudio.No reflejan, en ningn caso,lo que puede no requerirse en casos reales.Asimismo las soluciones y el sistema propuesto no cumplen necesariamente con todos los requisitos de algunos estandares reconocidos internacionalmente, por ejemplo, la NFPA. 2. SISTEMA DE PARADA DE EMERGENCIA DE UN HORNO El caso del Sistema Instrumentado de Seguridad (SIS) que se presenta es el de un Horno para calentamiento de la carga de una unidad de Crudo tpico en una Refinera.Se trata de un estudio para mejorar los sistemas de disparos y seguridades existentes por considerarlos inadecuados, inefectivos y poco fiables.El horno en cuestin es de tiro natural y usa como combustible fuel gas de refinera.Dispone, asimismo, de pilotos encendidos de forma continua. La Fgura 12.1 muestra el diagrama del horno y los controles bsicos asociados al mismo.

FC 10

FV 10

FT 10

CARGA

FC 9

FV 9

CAMARA DE COMBUST ION

SALIDA
TT 8

FT 9

TC 8 PT 7 PI 7

PCV 6

GAS PILOT O

FC 3 PT 4 FT 3 PI 4

L FV 3 PI 5 L PT 5

FUEL GAS

K.O. DRUM

LG 1 LT 2 LI 2 H

Curso U.Santiago

Pgina 3

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico Fgura 12.1

3. DESCRIPCION DE LOS CONTROLES BASICOS A continuacin se describen los controles bsicos ms relevantes de este horno. El control de la carga al horno se realiza por dos lazos de control de caudal situados en cada uno de los dos pasos de entrada al horno.Se trata de los FC-9 y FC-10 que manipulan las vlvulas de control FV-9 y 10. La presin de alimentacin de gas a los quemadores piloto, que se usan para el encendido del gas principal a quemadores, se lleva a cabo con una vlvula autoregulada PCV-6.La temperatura de salida del horno es controlada va caudal de Fuel Gas por medio de un tpico control en CASCADA donde la variable principal (maestra) es la temperatura y la secundaria (esclava) es el caudal de fuel gas.De esta forma el controlador de temperatura TC-8 envia su salida como punto de consigna al FC-3 y este manipula la valvula de control FV-3. Los lazos de control, aqu relacionados, estn implementados en un SCD en sala de Control distante 200 metros del horno.Como resultado del Analisis de Riesgos (tipo Hazop) se identificarn los siguientes riesgos para este horno (tabla 12.1). Riesgo
Explosin Horno Fuego en el Horno

Causa Posible
Perdida pilotos Prdida pilotos Baja nula carga al horno

Consecuencia
Muertes (perdida vidas) Perdidas de 1 Milln de euros.

Probabilidad
Media Media

Fallo en los tubos

Baja nula carga al horno

Prdidas de 1 Milln de euros

Media

Tabla 12.1 Asimismo, durante el anlisis de riesgo tipo Hazop, se recomendo la instalacin de una serie de instrumentacin tendente a mejorar la seguridad del horno y mitigar las consecuencias de los eventos descritos en la tabla anterior. Corte del fuel gas a quemadores en el caso de baja carga al horno en cualquiera de los dos pasos (con una temporizacin de 20 segundos). Corte de gas a pilotos y fuel gas a quemadores en el evento de una baja presin de gas pilotos. Situar, en la sala de control, un interruptor de parada de emergencia que posibilite al operador en caso de necesidad el cierre de las vlvulas de corte del gas piloto y del fuel gas principal.Este interruptor debera ser dedicado a esta nica funcin y cableado fisicamente (no por software).

Finalmente se fijo que la parada del horno bajo demanda podra ser activada cada seis meses y se indico que una parada falsa intempestiva, no demandada, por posible fallo de

Curso U.Santiago

Pgina 4

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

instrumentacin cada ao podra ser tolerada.El coste del impacto de esta parada intempestiva se estimo en 18.000 euros. 4. ALCANCE DEL ANALISIS El alcance de este analisis incluye los siguientes pasos del Ciclo de Vida de un SIS: 1. 2. 3. 4. 5. 6. 7. 8. Definir el SIL de cada funcin de seguridad (SIF) Desarrollar una especificacin con los requerimientos de seguridad (SRS) Realizar el diseo conceptual del SIS Calcular los costos de cumplimentacin del ciclo de Vida Verificar que el diseo conceptual del SIS est de acuerdo al SIL requerido Realizar le diseo detallado del SIS Instalar el SIS, comisionarlo y realizar las pruebas. Establecer los procedimientos de operacin y Mantenimiento.

5. DETERMINACION DEL SIL El primer paso es la determinacin del nivel integral de seguridad (SIL) de cada una de las funciones instrumentadas de seguridad (SIF).Como se estudio en el captulo 10,existen diferentes mtodos para su analisis bien de tipo cualitativo cuantitativo. En este caso, partiendo de los datos proporcionados en el estudio Hazop de la tabla 12.1,se usar el mtodo de la matriz de riesgo de tipo cualitativo donde se consideran las consecuencias y probabilidades del evento peligroso. El SIL resultante aplicando la matriz correspondiente a cada funcin de seguridad se muestra en la tabla 12.2.
Item 1 Funcion de seguridad Baja nula carga al horno Consecuencia Probabilidad Media Media Media M M M 3 2 SIL

Rotura tubos. 2 1 millon euros Fuego en el horno. 2 1 millon de euros Baja presin gas a Explosin. 3 pilotos Perdidas de vidas Tabla 12.2 SILs del Horno

6.

ESPECIFICACION DE REQUERIMIENTOS DE SEGURIDAD (SRS)

Tal como se apunto en el captulo 9, en este punto hay que realizar la especificacin de los requerimientos de seguridad relativos a este horno.Se trata de especificar lo que hace el sistema (especificacin funcional) y como de bien lo hace (especificacin de integridad de la seguridad ).Para ello es necesario disponer de partida de una serie de documentos para poder llevar a cabo este trabajo. Para el caso de este estudio se sumariza en la siguiente tabla 12.3, la informacin clave requerida.
Curso U.Santiago Pgina 5

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

Requerimiento Documentacin y Requisitos iniciales P&IDs Requeridos. Diagrama causa-efecto Requerido.Ver tabla 12.4 Hojas de datos de instrumentos Requeridas para los elementos de campo iniciadores (FTs/PTs) y vlvulas de corte. Diagramas lgicos Es suficiente la matriz causa-efecto para describir la lgica. Informacin de proceso de cada evento de peligro Se precisa una descripcin detallada de cmo las potencial que requiere un SIS.(causa del explosiones, fuegos o rotura de tubos pueden ocurrir y de cmo los instrumentos de proteccin pueden incidente,dinamicas,elementos finales,etc) prevenir/mitigar estos sucesos. Definir la velocidad de respuesta y precisin del sistema de proteccin as como otros requisitos adiccionales (Ej:clase de fuga y diseo a prueba de fuego de las vlvulas de corte) Causas de fallos procesales por La medida de crudo suele ser problemtica por alta corrosin,obstrucin,suciedad,etc viscosidad y un medidor en lnea tipo Coriolis es preferible al uso de placa orificio.Corrosin por sulfuro de hidrgeno en la atmosfera debe ser tenida en cuenta. Aplicacin,si procede,de otros estandares y normas Ej: el estandar NFPA 8501 puede ser usado como que puedan ser de uso en el SIS. referencia aunque no sea mandatorio. Requerimientos funcionales Definir el estado seguro en que debe quedar el proceso En este caso el estado seguro es cortar el gas piloto,el para cada uno de los eventos. fuel gas y la carga al horno. Elementos iniciadores (entradas del proceso) al SIS y Ver tabla 12.4 sus puntos de disparo El rango de operacin normal de las variables de Ver tabla 12.4 proceso y sus lmites de operacin. Elementos finales (salidas de proceso) del SIS y sus Ver tabla 12.4 acciones. La relacin funcional entre las entradas y las salidas Ver tabla 12.4 incluyendo la lgica y permisivos. Seleccin de la filosofa de fallo seguro(failure safe) Fijar contactos normalmente cerrados y vlvulas solenoides y circuitos energizados(en situacin normal) Consideracin del disparo manual Un interruptor manual cableado normal se instalar en sala de control (HS-21) Acciones a tener en cuenta si falta alimentacin al SIS Debern cerrarse todas las vlvulas de corte. Tiempo de respuesta de actuacin del SIS para llevar 5 segundos en aceptable el proceso al estado seguro Respuesta del operador ante un fallo evidente Inmediata.Mantenimiento debe asignar recursos para una rpida solucin al problema. Interfase de operacin Fijar la informacin que debe tener el operador y en que forma.Alarmas en el SCD dedicadas por cableado normal.Alarmas previas a los disparos.Disparo manual. Funcines de rearme Las vlvulas de corte debern disponer de v.solenoides con rearme manual. Bypases Disponer de bypases de mantenimiento para cada SIF y de puesta en marcha para los de baja carga al Curso U.Santiago Pgina 6

Item

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico horno.Todos los bypases tendrn alarma en el SCD. Requerimientos de seguridad integral Listear todas las funciones instrumentadas de Tabla 12.4 seguridad(SIFs) y el SIL de cada una de ellas Requisitos de funciones de diagnstico de los Los sensores de campo inteligentes (transmisores, elementos de campo para lograr el SIL requerido posicionadores,etc) disponen de capacidad de autodiagnosis y posibilidades de configurar acciones y alarmas.Hacer,por ej.que si el sensor falla su seal vaya al mximo valor y dar alarma en el SCD.Proporcionar finales de carrera en las vlvulas de corte y ,si procede,un verificador de apertura parcial (partial stroke test). Requerimientos operacin , mantenimiento y Fijar la frecuencia de prueba y verificacin. verificacin del SIS y su SIL asociado Fijar requisitos de fiabilidad de disparos intempestivos La cantidad de disparos intempestivos deber y su peligrosidad calcularse para comprobar el cumplimiento del Hazop Tabla 12.3 Sumario de informacin clave para SRS

Tag

Descripcin

SIL

Rango instrumento

Valor de Disparo 20 20 0.3

Unidades

FT-22 FT-23 PT7/24

HS-21

Caudal paso A Caudal paso B Presin gas piloto Prdida alimentacin elctrica Prdida de aire instrumentos Disparo manual

2 2 3

0-100 0-100 0-2

M3/h M3/h Kg/cm

Vlvula cerrada XV30A X X X X

Vlvula cerrada XV30B X X X X

Vlvula cerrada XV31A

Vlvula cerrada XV31B

Notas

1 1 X X X X 2

Notas: 1.Temporizar 20 segundos el cierre de las vlvulas de corte 2.Las vlvulas solenoides debern disponer de rearme manual Tabla 12.4 Matriz (Diagrama) Causa-Efecto

Curso U.Santiago

Pgina 7

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

7. DISEO CONCEPTUAL DEL SIS El diseo conceptual del SIS debe cumplir, inicialmente, con las especificaciones que la Compaa tenga para este tipo de sistemas.Posteriormente se comprobar y verificar si realmente cumple no con el SIL requerido.En cualquier caso es necesario partir de unas guas para elaborar un esquema y calcular un coste preliminar. Para el caso de este estudio las guas del diseo conceptual del SIS basadas en los diferentes niveles SIL que se proponen aparecen en la tabla 12.5 que ya fue explicada en el captulo 9. Esta tabla formar parte de la SRS correespondiente.
Tabla 12.5 Guas de diseo SIS basadas en los niveles SIL

SIL

Sensores
Se requiere Redundancia de Sensores 1002 (1 de 2) 2003 (2 de 3), dependiendo de los requisitos. Se puede o no requerir redundancia. La opcin inicial es no tenerla. Seleccionar redundancia slo si el clculo del PFDmedio lo requiere

Solucin Lgica
Se requiere PLC Redundante

Elementos Finales
Se requiere redundancia 1002 (1 de 2)
Se puede o no requerir redundancia. La opcin inicial es no tenerla. Seleccionar redundancia slo si el clculo del PFDmedio lo requiere

Se requiere PLC Redundante

Sensor nico

Rel, Estado slido o PLC Simple

Dispositivo nico

Basandonos en los criterios de la tabla anterior y en los datos aplicables de la SRS,el esquema de enclavamientos y seguridades propuesto para este horno se refleja en la fgura 12.2

FC 10

FV 10 FT 22

FT 10

CARGA

FC 9

FV 9 FT 23

CAMARA DE COMBUST ION

SALIDA
TT 8

FT 9 HS 21 PAL 24 F AL 22 F AL 23 PAL 7

TC 8

S/D LO G IC YC-20 XV 30A XV 30B PT 24 PT 7 PI 7

GAS PILOT O
PCV 6 BV 25 BA 25 BA 26 FC 3 XV 31A XV 31B FT 3 PT 4 PI 4 L FV 3 PI 5 L PT 5

BV 26

FUEL GAS

K.O. DRUM

LG 1 LT 2 LI 2 H

Curso U.Santiago

Pgina 8

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

Fig.12.2

El diseo conceptual debe realizarse para complementar la especificacin de los requisitos de seguridad (SRS) llevada a cabo en el punto 6 anterior y debe tener en cuenta las guas, procedimientos y especificaciones de la Compaa.No olvidar que la informacin clave que necesitar el ingeniero del contratista para completar la ingeniera de detalle debe estar reflejada en este diseo conceptual. Asimismo, no debera haber discrepancias entre este documento y el SRS. Siguiendo con el ejemplo del caso que nos ocupa, vamos a listar los requerimientos bsicos del diseo conceptual del SIS del horno en la tabla 12.6.
Item Arquitectura del Sistema Requerimiento Debe basarse en las guas y procedimientos de la Compaa.El PLC para realizar la lgica ser redundante y estar de acuerdo con la especificacin correspondiente.Debe localizarse en una sala de Racks adecuada. Redundancia 1oo2 se requiere para los elementos iniciadores de la presin de gas a pilotos y para las valvulas de corte.Es necesario verificar el cumplimiento del SIL para esta SIF del gas piloto.Ver figura12.3 Para lograr esto deben seguirse lo apuntado en el captulo 11.Deben tenerse en cuenta : el cableado del 1oo2 desde transmisores y vlvulas al PLC debe ser separado del correspondiente al sistema de control,la alimentacion va SAIs a los PLCs deben ser independientes del resto y las tomas de los transmisores deben ser diferentes. Tener en cuenta la clasificacin del rea donde se instalarn los instrumentos de campo y elegir el metodo de proteccin adecuado (Ej: seguridad intrnseca).Mantener los requisitos fijados para el PLC(humedad y temperatura). Se dispone de alimentacin de 115v,50Hz desde 2 SAIs separados localizados en la sala de control Asegurarse de seguir las buenas prcticas y especificaciones de tomas a tierra Instalar bypases de mantenimiento para cada SIF y de puesta en marcha para la carga.Asimismo las vlvulas de corte debern tener vlvulas de bypas.Siempre que haya un elemento baipaseado debe haber alarma en el SCD. Los requerimientos de seguridad de la Compaa para acceder al PLC y modificar la programacin deben ser cumplidos Las alarmas de disparos, baipases y de diagnstico deben conectarse al SCD. Tabla 12.6

Minimizar causas de fallo comunes

Consideraciones ambientales

Alimentaciones elctricas Tierras Bypases

Seguridad

Interfase de Operacin

Curso U.Santiago

Pgina 9

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

Caudal paso A FT-22 Caudal paso B FT-23 PLC de seguridad Redundante.Basado en las especificaciones de la Compaa. Vlvulas corte gas Piloto XV-30A/B (1oo2 lgica)

Presin gas piloto PT-7/24 (1oo2 lgica)

Vlvulas corte f. gas XV-31A/B (1oo2 lgica)

Fig.12.3

8. COSTES DEL CICLO DE VIDA En este apartado se realiza una estimacin de los costos del ciclo de vida del SIS en euros.
Items costes del Ciclo de vida (20 aos) Costes fijos iniciales Definicion del SIL Comentarios Material Mano de obra 1000 Subtotal Total

Completado el Hazop y decidida la necesidad de un Sistema Instrumentado de seguridad, el primer coste es realizar el SIL de cada SIF.

1000

Realizacin de la SRS y diseo conceptual Ingeniera y diseo de detalle

3000 Coste total de la ingeniera y diseo de detalle Compra de los sensores de campo Vlvulas y/u otros elementos finales Rels,PLCs,etc 20000

3000 20000

Elementos iniciadores Elementos finales Plataforma de lgica Varios:cables,cajas,SAIs,interfase de operacin,etc Cursos de formacin

24000 6000 30000 4000 5000

24000 6000 30000 4000 5000

FAT/instalacin/SAT

Cursos al personal involucrado en los diferentes pasos del ciclo Costes de pruebas en fbrica,campo,instalacin de equipo,etc

4000

16000

20000

Puesta en marcha y correccin de errores Curso U.Santiago

1000

2000

3000

Pgina 10

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico Total costes fijos Costes anuales Curso de formacin in situ 116000 Curso de refresco para operacin y manten. Los cambios requieren revisar los requerimientos y actualizar la documentacin Ejemplo:PLCs 1000 1000 1000

Costes por modificaciones y cambios

1000

2000

Contratos de servicios Costes fijos de operacin y Mantenimiento Repuestos Verificaciones y pruebas peridicas Costes de reparaciones Costes de falsos disparos intempestivos por fallos no deseados (spurious trips)

1000 1000 4000 8000 1000 500

1000 1000 4000 8000 1500 8000

Coste basado en el MTBF spurious del sistema y refleja los costes por prdidas de produccin. Basado en el tipo presente del interes del dinero (5%)y el nmero de aos previstos del ciclo(20 aos).

Total coste anual Valor actual de los costes anuales

26500 330249

Total costes del ciclo de vida

446249

Tabla 12.7

9. VERIFICACIN DEL SIS VERSUS SIL En este paso debemos comprobar y verificar que el correspondiente SIS de cada funcion instrumentada de seguridad (SIFs) cumplimenta el SIL asignado a cada una de ellas.En este ejemplo tenemos tres disparos que son: Bajo caudal de carga por el paso A Idem por el paso B Baja presin de gas pilotos El disparo por baja presin de gas a pilotos debe cumplimentar un SIL3.Vamos a verificar que el sistema instrumentado de seguridad (SIS) previsto y diseado para esta funcin cumple con dicho requisito.De igual manera lo haramos para los disparos de baja carga (SIL2).En este ejemplo lo haremos solo para el primero de ellos (ver Fig 12.4).

Transmisores De gas piloto. Pt-7/24 (voting 1oo2)

PLC de seguridad
Redundante segn Especificaciones Compaa.

Vlvulas corte XV-30A/B (Voting 1oo2) Vlvulas corte XV-31A/B (voting 1oo2)

Curso U.Santiago

Pgina 11

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico Fig.12.4

Previamente a dicha verificacin haremos una exposicin de las frmulas bsicas empleadas para el clculo de los falsos disparos (nuisances trips) no demandados por el sistema y de la probabilidad media de fallo en demanda (PFDmedia) en funcin de los tipos de instrumentos y configuracin seleccionada. Frmulas del clculo del nuisance trip (disparo latoso y falso no demandado) 1oo1 1oo2 2oo2 2oo3 1/s 1/ (2*s) 1/ ( 2*(s) *MTTR) 1/ ( 6*(s) *MTTR)

donde: MTTR=tiempo medio de reparacin (mean time to repair) =tasa de fallo (1/MTBF) s =fallo seguro s =fracin de tasa de fallo segura Frmulas de clculo de la PFDmedia con intrumentos que detectan fallos (autodignosis) 1oo1 1oo2 2oo2 2oo3 d * (MTTR+ (TIa/2 ) ) 2 * (d) * (MTTR+ (TIa/2) ) 2 * (d) * (MTTR+ (TIa/2) ) 6* (d) * (MTTR+ (TIa/2) )

Donde: TIa MTTR d d =Intervalo de diagnstico automtico (usualmente insignificante) = tiempo medio de reparacin =tasa de fallo (1/MTBF) =fallo peligroso = fraccin de tasa de fallo peligrosa

Frmulas de clculo PFDmedia para instrumentos sin deteccin de fallos (fallos no detectados).

1oo1 1oo2 2oo2

d * (TI/2) ( (d) * (TI)) /3 d *TI


Pgina 12

Curso U.Santiago

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

2oo3

(d) * (TI)

Donde: TI es el intervalo de prueba manual

Para el ejemplo que nos ocupa asumiremos los siguientes datos: MTTR: 8 horas Tiempo medio de activacin del sistema bajo demanda: cada seis meses Intervalo de tiempo de prueba en lnea: 3meses Efectos de fallos por causa comn: casi nulos La fraccin de tasa de fallo peligrosa incluye todos los fallos y diagnsticos La fraccin de tasa de fallo seguro de todos los transmisores es la misma La tabla 12.8 refleja los datos de las tasa de fallos de los componentes del SIS
Item Fraccin de tasa de fallo peligrosa d Fraccin de tasa de fallo segura s 0.02 0.1

Tranmisores PT-7/24 0.01 Vlvulas de corte y solenoide 0.02 XV-30A/B XV-31A/B PLC de seguridad Ver nota Nota: La PFDmedia del PLC redundante segn suministrador es de .00001 Tabla 12.8

0.01

Clculo PFDmedia Aplicando las frmulas adecuadas: PFDmedia (sensores) = .333 * (.01) (3/12) =0.000002 PFDmedia (vlvulas corte+solenoides) =2 * .333 * (.02) (3/12) =0.000016 PLC =0.00001 PFDmedia total =0.000028 Recordar que el mximo valor requerido para SIL 3 es de 0.001 Luego el SIS cumple el requerimiento de SIL3.

Clculo del falso/no demandado disparo (nuisance trip) Todos los transmisores y vlvulas deben de incluirse en este clculo. MTTFsp (sensores) =1/(2*0.02) = 25 aos MTTFsp (vlvulas y solenoides) =1/ (4*0.1) = 2.5 aos MTTFsp (PLC) =1/(0.01) = 100 aos MTTFsp (total) =2.2 aos Un disparo intempestivo cada 2.2 aos es asumible

Curso U.Santiago

Pgina 13

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

10. DISEO DE DETALLE DEL SIS El diseo de detalle del SIS tiene que estar de acuerdo con la especificacinde requerimientos de seguridad (SRS) y con el diseo conceptual.Para esta aplicacin, contemplada en el ejemplo,debera de disponerse de una serie de documentacin como parte del paquete del diseo de detalle: 1. Resultados y recomendaciones del estudio Hazop 2. Todos los clculos de PFDmedia y MTTF. 3. Diagramas de proceso y P&Ids 4. Listas de instrumentos 5. Hojas de especificaciones y requqerimientos del PLC,transmisores y vlvulas. 6. Diagramas de lazos de control y enclavamientos. 7. Matriz de causa-efecto 8. Localizacin de instrumentos y equipos 9. Configuracin del PLC as como lista de entradas/salidas y programas. 10. Diagramas de cableado de cajas y cabinas 11. Diagramas de alimentaciones elctricas y neumticas. 12. Listas de repuestos 13. Documentacin estandar de los vendedores (manuales instruccin,instalacin,operacin y mantenimiento) 14. Procedimientos y formatos de verificacin y pruebas. 15. Procedimientos de chequeos en lnea. 11. INSTALACION,COMISIONADO Y PRUEBAS DEL SIS Lo siguiente son actividades claves que deben ser tenidas en cuenta y realizadas como parte de la instalacin,comisionado y pruebas antes de la puesta en operacin: Test de aceptacin en la factora del fabricante/vendedor del PLC (FAT).Las responsabilidades y detalles de estas pruebas deben de incluirse como parte de las actividades del diseo de detalle. Instalacin en campo del sistema completo.Esta instalacin debe estar conforme con los diagramas y manuales incluidos en el paquete de diseo.deben de incluirse formatos para el chequeo funcional de los diferentes elementos. Realizacin del Test de aceptacin in situ (SAT).

de

12. PROCEDIMIENTOS DE OPERACIN Y MANTENIMIENTO Como ejemplo,describiremos un procedimiento tpico de uno de los disparos de este ejemplo.
Curso U.Santiago Pgina 14

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

Nos referiremos al disparo del horno por baja presin de gas piloto.

Operacin: Si la presin de cualquiera de los dos transmisores PT-7 PT-24 cae por debajo de 0.35 Kg/cm, las vlvulas de corte XV-30A,XV-30B,XV-31A y XV-31B cerrarn completamente en alrededor de 3 segundos.

PAL 24

PAL 7

S/D LOGIC YC-20 PT 24 PT 7 PI 7

XV 30A

XV 30B

GAS PILOTO
PCV 6 BV 25 BA 25

BA 26

XV 31A

XV 31B

FUEL GAS

BV 26

Fig.12.5 Descripcin del disparo del horno por baja presin gas pilotos

PROCEDIMIENTO DE TEST DE DISPARO 1. PROPOSITO

Chequear el disparo del horno por baja presin de gas piloto a traves de los transmisores PT-7 y PT-24 2. RESPONSABILIDADES DEL TEST

La responsabilidad de la realizacin del test es del operador del horno.Un instrumentista acompaar al operador durante la realizacin de dicho test. 3. HERRAMIENTAS E INSTRUMETOS NECESARIOS

Solo se necesita una emisora prtatil

Curso U.Santiago

Pgina 15

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico 4. FRECUENCIA DEL CHEQUEO

Este test debe realizarse cada tres meses 5. RIESGOS

Fallos en las aperturas de las valvulas de bypas del gas piloto y del fuel gas pueden ocasionar el disparo del horno y crear un fuego explosin. Asimismo,fallos en el cierre de dichas vlvulas al finalizar el test puede desautorizar el disparo. 6. INFORMACION DE REFERENCIA

Para la prueba deben estar disponibles una serie de planos y documentos por si fueran necesarios (diagramas de lazos,hojas de datos de instrumentos y descripcin del sistema de paradas del horno) 7. PROCEDIMIENTO DEL TEST PASO A PASO

Referirse al fgura 12.5 para un mejor entendimiento: Paso 1 2 3 4 5 Accin Avisar,del comienzo del test, a todo el personal de operaciones afectado por el mismo Abrir la vlvula de bypas de gas piloto BV-25 completamente.Verificar que la alarma BA-25 se activa en el DCS.Reconocer la alarma Abrir la vlvula de bypas de fuel gas BV-26 completamente.Ver que la alarma BA26 se activa en el DCS.Reconocer la alarma. Obtener informacin de que la operacin del horno continua estable. Cerrar la vlvula de aislamiento del transmisor PT-7 y ventear suavemente el transmisor.Al llegar la presin a 0.35 Kg se deberan de cerrar las vlvulas de corte de gas piloto y de fuel gas.Este cierre debera producirse en menos de 3 segundos Comprobar que en el SCD se ha activado la alarmaaPAL-7.Reconocerla Cerra el venteo del transmisor y abrir la valvula de bloqueo para que vuelva la presin a su nivel normal. Comprobar que se apaga la alarma PAL-7 Resetear el rearme manual de las vlvulas solenoides.Las vlvulas de corte se abrirn inmediatamente. Repetir los pasos 5,6,7,8 y 9 para el PT-24 Cerrar la vlvula de bypas de gas piloto BV-25.Ver que la alarma BA-25 en el DCS desaparece Idem con la de bypas de fuel gas BA-26viendo que desaparece la alarma BA-26 Avisar al personal de operacin afectado de la finalizacin del test. Completar,firmar,y remitir la documentacin completa del test al Supervisor de la Planta. Chequeo OK

6 7 8 9 10 11 12 13 14

Disparo chequeado por

Fecha

13. SUMARIO Como resumen de este ejemplo diremos que puede sernos muy til para completar la mayor parte de los pasos de un ciclo de vida de un SIS.Pretende dar una idea conceptual de cada uno de ellos y que pueda valer como metodologia en cualquier otro que se nos presente en nuestro trabajo habitual.

Curso U.Santiago

Pgina 16

Sistemas Instrumentados de Seguridad Tema: realizacin de un caso prctico

Referencias 1. ANSI/ISA,Application of Safety Instrumented System for the Process Industries 2. Safety Shutdown System:Desing,Analysis and Justification

Curso U.Santiago

Pgina 17

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

EJERCICIOS Y PROBLEMAS

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas

EJERCICIOS Y PROBLEMAS

1.

INTRODUCCION

2.

ALTA TEMPERATURA REACTOR

3.

ALTA PRESION TORRE DESTILACION

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas 1. INTRODUCCION

Se realizarn dos clases de ejercicio. El primero de ellos se plantea durante un nuevo Proyecto de una unidad de desulfuracin de destilados medios donde, partiendo de cero, habr que realizar un diseo conceptual de una de las funciones instrumentadas de seguridad (SIF) que este de acuerdo al SIL que previamente se le ha determinado. En el segundo caso, se parte de una instalacin existente donde tras un Hazop de la unidad y una lista de SIFs se determinan los niveles SIL de cada una de las SIF y en el caso del ejercicio se deber de comprobar el nivel SIL que satisface una determinada configuracin existente de una SIF y proponer las alternativas y modificaciones necesarias para subir dicho nivel SIL.. 2. ALTA TEMPERATURA EN REACTOR

En el esquema se simplifica como la carga lquida de hidrocarburos en control de caudal se mezcla con hidrgeno para que una vez calentada dicha mezcla se lleve al reactor que, en las condiciones prefijadas de presin y temperatura y en presencia de un catalizador determinado, se produzcan las reacciones necesarias para la desulfuracin de dicha carga. Si debido a un mal funcionamiento del controlador de temperatura, esta aumenta de forma alarmante en la entrada al reactor propiciando un incremento en la actividad del catalizador que puede conducir a una reaccin exotrmica descontrolada (Ej: por alta cantidad de hidrgenacin de compuestos aromticos) esto tendr como consecuencia final , si no se toma ninguna accin, a la rotura de la carcasa del reactor.Esta rotura liberar a la atmsfera su contenido (producto mezcla de hidrocarburos e hidrgeno).La temperatura de autoignicin de alguno de los componentes de hidrocarburos podra tener como consecuencia una gran probabilidad de inmediata ignicin del producto liberado.Esto resultar en un fuego localizado en las inmediaciones de dicho reactor el cual se puede minimizar al bajar la presin consecuencia de dicha fuga. Este evento se desarrollar en alrededor de 30 minutos si no toma ninguna medida el operador.
H2

HC

TV 1

DEPOSITO
FIC 1 FT 1 TAH

HORNO

SE

BOMBA

TT 1

F.GAS

FIC 2

TIC 1

REACTOR
FT 2

TT 2 TT 3 TT 4

Para evitar lo anterior se propuso, durante la fase de Ingeniera bsica y se confirmo durante el estudio HAZOP disear una SIF que en caso de llegar la temperatura en el lecho del reactor a un determinado valor se cerrase la aportacin de hidrgeno con lo cual el problema quedara totalmente controlado. El ejercicio que se plantea, como parte del ciclo de vida SIS, consta de las siguientes partes: Determinar el SIL de dicha funcin instrumentada de seguridad (SIF). Realizar un diseo conceptual de dicha SIF Verificar que dicho diseo cumplimenta el SIL requerido

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas 2.1.-Determinacin del SIL Para la determinacin del SIL de esta SIF usaremos la matriz de riesgo de proteccin personal parametrizada para este caso segn lo que se especifica en Repsol.

W3
C1

W2
1 2 3 4 5 6 7

W1

1
P1 F1 P2

a 1 1 2 3 3 4 h

a 1 1 2 3 3 4

1 2 3 4 5 6

a 1 1 2 3 3

2 3 4 5 6 7 8

C2 F2

P1

P2

F1 C3 F2

C4

Matriz de proteccin personal Nota: a : SIF sin requerimiento de SIL - : Sin requerimiento de SIF h : Es necesario rediseo del sistema Donde: W : Es la frecuencia probabilidad de un evento no deseado pudiendo adoptar los siguientes valores: W1 : No se espera que el evento ocurra durante la vida de las instalaciones W2 : Se espera que el evento ocurra una vez durante la vida de la instalacin W3 : Se espera que el evento ocurra con frecuencia durante la vida de la instalacin C : Es el parametro de consecuencias pudiendo adoptar los siguientes valores: C1 : Daos menores a una persona que no resultan en vctimas mortales. C2 : Daos graves permanentes mortales a una ms personas. C3 : Muerte de varias personas (rango 2 a 9). C4 : Muerte de muchas personas (10 ms). F : Es el parmetro de ocupacin pudiendo adoptar los siguientes valores: F1 : Exposicin rara ocasional en la zona peligrosa (menor del 10%).Este parmetro se suele tomar por defecto. F2 : Exposicin frecuente permanente (ms del 10%). P : Es la probabilidad de evitar las consecuencias del evento peligroso pudiendo adoptar: P1 : Es posible bajo ciertas condiciones.Es necesario justificacin slida. P2 : Casi imposible de evitar el peligro (parmetro por defecto). En el caso que nos ocupa la seleccin de los diferentes parmetros es la siguiente: Parmetro W : Para que dicho evento ocurra se tienen, como mnimo, que dar dos circustancias concurrentes ya que adems de fallar el controlador de temperatura el operador del SCD no tome

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas ninguna accin en 30 minutos.Esto nos lleva a considerar que la probabilidad de que este evento ocurra es una vez en la vida de la instalacin lo que lleva a una W2. Parmetro C : La consideracin es suponer como mximo una persona muerta al ser el fuego muy localizado.Esto conlleva a una C2. Parmetro F : En este caso se supone que en el rea del reactor puede haber presencia frecuente (ms del 10%) lo que da un F2. Parmetro P : Es muy difcil evitar el evento peligroso ya que no suele haber seales externas localmente antes de la rotura del reactor.Por tanto se asume P2.

Entrando en la matriz con los parametros anteriores el SIL requerido para esta SIF es de 2. 2.2:-Realizacin diseo conceptual del SIF Normalmente, para la realizacin del diseo conceptual debe disponerse de una especificacin de los requerimientos de seguridad (SRS) que da una serie de guas tanto generales como perticulares para poder hacer un primer borrador de la configuracin propuesta. Al objeto de simplificar y posibilitar este ejercicio se resumen los aspectos ms relevantes que hagan posible dicho diseo conceptual y que es perfectamente vlido para los objetivos que se persiguen en este ejercicio. Resumen: Como elementos iniciadores se prefieren usar transmisores electrnicos 4-20 ma inteligentes en lugar de termostatos de contactos. Los elementos iniciadores para esta SIF sern independientes de los de control. La lgica se realizar con PLC redundante dedicado solo a los SIS. El elemento final de corte ser una vlvula de corte independiente y una vlvula solenoide con rearme manual. Para minimizar las causas comunes de fallo se establece que el cableado de los transmisores y v.solenoide sean segregados de los correspondientes del SCD.Asimismo se dispondrn de SAIs (sistemas de alimentacin inenterrumpida) separados para los diferentes elementos del SIF iy los temopozos de los termopares sern asimismo diferentes. Se proveeran bypases de mantenimiento para los transmisores con alarma en SCD. La siguiente tabla 1 sumariza una gua de diseo basada en los niveles SIL que se tomar por defecto.

SIL

Sensores
Se requiere Redundancia de Sensores 1002 (1 de 2) 2003 (2 de 3), dependiendo de los requisitos. Se puede o no requerir redundancia. La opcin inicial es no tenerla. Seleccionar redundancia slo si el clculo del PFDmedio lo requiere

Solucin Lgica
Se requiere PLC Redundante

Elementos Finales
Se requiere redundancia 1002 (1 de 2)
Se puede o no requerir redundancia. La opcin inicial es no tenerla. Seleccionar redundancia slo si el clculo del PFDmedio lo requiere

Se requiere PLC Redundante

Sensor nico

Rel, Estado slido o PLC Simple

Dispositivo nico

Tabla 1

Con todo lo anterior, la propuesta de diseo conceptual para esta SIF es:

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas

ALTA TEMPERATURA REACTOR TT1,TT2,TT3 (2003 LOGICA)

PLC REDUNDANTE (LOGICA)

VALVULA CORTE DE H2 (1001 LOGICA)

2.3.-Verificacin del SIL Una vez realizado el diseo conceptual hay que verificar que dicho diseo satisface el SIL (2 en este caso) requerido.Para ello asumiremos los siguientes puntos: Los transmisores que hemos seleccionado como elementos iniciadores no tienen deteccin automtica de fallos. La vlvula de corte (elemento final) es una tpica vlvula todo/nada de actuacin neumtica con obturador de disco y clase de fuga IV (normal). La v.solenoide es de tres vas con rearme manual. El PLC redundante est certificado para SIL 3 y tiene una PFD segn el vendedor de .00001 (esto es cierto si el tiempo medio de reparacin es de 72 horas) Suponemos un tiempo de intervalo de prueba en lnea de 24 meses las paradas programadas son cada dos aos). No hay practicamente causas de fallo comunes La tabla siguiente nos orientar para determinar la tasa de fallos de los elementos iniciadores y finales as como las fracciones de fallo seguro y peligroso a usar en las frmulas.

Safety Instrument

MTTF [aos]

Tasa de Fallos [1 / hours]

Modo de Fallo Fallo abierto contacto) Fallo cerrado pegado) (sin

Consecuenci a del Fallo S D (sin S D D S S/D S S D S/D S

Fraccin de Fallos [%] 99,90% 0,10% 99,90% 0,10% 35,00% 26,00% 35,00% 4,00% 33,33% 33,33% 33,33% 0,00%

Posobilidad de deteccion autom. NO NO NO NO NO NO NO NO NO NO NO NO

Rels Lgicos

10700

1,07E-08

(contacto

Rels de Contactos

1446

7,89E-08

Fallo abierto contacto) Fallo cerrado pegado)

(contacto

Fallo Micro cerrado Switches (presostatos, nivostatos,etc) 15 7,61E-06 Fallo Micro abierto Descalibracin Corte de Cable Fallo seal neumtica Transmisores neumticos v.solenoide 28 4,15E-06 Contaminacin Ramas Descalibracin 165 6,92E-07 Fallo bobina

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas


Agarrotamiento Fuga Vlvulas de Control 32 3,60E-06 Fuga Agarrotamiento Fuga Vlvulas de Corte 58 1,99E-06 Agarrotamiento Fallo aire instrum. IS Isolator Transmisores electrnicos Temperatura en condiciones medioambientales extremas Transmisores electrnicos Presin 3051S_T In-Line Transmisores electrnicos Presin dif., caudal y nivel. 3051S_C Coplanar 58 1,99E-06 Fallo Micro cerrado Fallo Micro abierto Fallo termopar 49 2,04E-05 Fallo electrnica D S D D D D S D S S D 0,00% 100,00% 66,00% 34,00% 25,00% 25,00% 50,00% 35,00% 26,00% 95% 1% NO NO NO PARCIAL (90%) NO NO NO NO NO NO NO

Descalibracin 1140 8,77E-07 Fallo electrnica 1096 9,12E-07 Fallo electrnica

D S D D S D D

4% 86% 7% 8% 85% 7% 8%

NO NO NO NO NO NO NO

Tabla 2 Notas: MTTF (tiempo medio de fallos). S: fallo seguro D: fallo peligroso

Clculos PFDmedia : (ver tema 12 para frmulas) y la tabla 2 anterior para datos de tasa de fallos peligrosa. Comenzaremos eligiendo un solo sensor (transmisor de temperatura 4-20 ma) y una sola v.corte con solenoide siguiendo la gua de la tabla 1. Las frmulas a aplicar tanto para el sensor como para el elemento final son (fallos no detectados): PFD media (1oo1) = d * (TI/2)

Donde d es la tasa de fallo peligrosa y TI es el intervalo de prueba manual Por tanto PFD (sensores) ------------------------------ (2.04E-05*0.05) *(2*8760/2) = 0.00893 PFD (vlvula corte+solenoide) ------------ (1.99E-06)*0.5*(2*8760/2) = 0.0087 PFD (PLC lgica) -------------------------------------------------------------- = 0.00001 PFD (total) --------------------------------------------------------------------- = 0.017 La PFDmedia mxima para SIL 2 es 0.01 luego nos vemos obligados a encontrar otra solucin distinta.A este respecto caben varias alternativas posibles: Realizar una configuracin con los sensores de 1oo2 de 2oo3 Bajar la tasa de fallo peligrosa en la vlvula poniendo un partial stroke test para eliminar el agarrotamiento. Bajar el tiempo de test manual TI con la posible implicacin de tener que bypasear la vlvula para poder realizar la prueba en marcha. Poner dos vlvulas de corte en serie (1oo2). En principio eligiremos la primera posibilidad con un 2oo3 en los elementos iniciadores. La frmula para los sensores es en este caso: (2oo3) PFDmedia = (d) * (TI)

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas PFD (sensores) ------------------------------ (2.04E-05*0.05)*(2*8760) = 0.0003 PFD (vlvula corte+solenoide) ------------ (1.99E-06)*0.5*(2*8760/2) = 0.0087 PFD (PLC lgica) --------------------------------------------------------------= 0.00001 PFD (total) --------------------------------------------------------------------- =0.009 El mximo requerido para SIL 2 es de 0.01.El sistema propuesto satisface el requerimiento considerando la PFDmedia. No obstante si consideramos las limitaciones de arquitectura, segn IEC 61508, al ser el elemento final una vlvula de corte con una tasa de fallo seguro inferior al 60% (elemento tipo A) la tolerancia de fallo de hardware es 0 y solo vale para SIL 1.Para SIL2 necesitariamos redundancia (2 vlvulas en serie) subir la tasa de fallo seguro por encima del 60% con otro tipo de valvula usando un partial stroke test.

3.

ALTA PRESION TORRE DE DESTILACION

En este caso se parte de una instalacin que lleva funcionando durante aos consistente en una funcion de seguridad que al subir la presin en la cabeza de la torre a un valor predeterminado (superior al punto de consigna del controlador e inferior al set de la vlvula de seguridad) se corte el vapor de calentamiento del fondo.Lo instalado, para cumplimentar esta necesidad, consta basicamente de un presostato como elemento iniciador, de un rel de contactos para realizar la lgica y como elemento final se usa la misma vlvula de control de temperatura con una v.solenoide asociada. En el presente ejercicio se proponen las siguientes cuestiones: Verificar el SIL que satisface la configuracin existente Proponer las modificaciones (alternativas) para que dicha configuracin pueda cumplir con un nivel superior de SIL

A tal objeto se facilita la siguiente informacin: Tabla 2 usada en el ejercicio anterior para toma de datos suponiendo que los elementos utilizados sean instrumentos contemplados en dicha tabla. Esquemas explicativos Uso de las frmulas de clculo de la PFDmedia. Considerar el tiempo de test manual de 2 aos Considerar las limitaciones de arquitectura segn IEC61508.

Sistemas Instrumentados de Seguridad Tema: Ejercicios y problemas

PSV 1 PT 1

PIC 1

ANTORCHA

INTER
SE PSH 1

CAMBIADOR

B
ANTORCHA

PAH 1

FC 1

TORRE DE DESTILACION

A
DEPOSITO
LT 2 LC 2

FT 1

HC

TC 1 TY 1

TT 1

DESTILADO

F/P
LT 1 LC 1

BOMBA

ATMOSF.

TV

FC 2 FT 2

VAPOR

FC

INTER CAMBIADOR BOMBA

DESTILADO

ALTA PRESION TORRE PSH1 (1001 LOGICA)

RELE CON CONTACTOS (LOGICA)

VALVULA CORTE DE VAPOR (1001 LOGICA)

ERROR: undefined OFFENDING COMMAND: eexec STACK: /quit -dictionary-mark-