Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1232pub PDF
1232pub PDF
1
ndice Sistemas Instrumentados de Seguridad
ndice
1 INTRODUCCIN 8
2 ALCANCE 13
3 NORMATIVA Y ESTNDARES 15
3.2 ANSI/ISA-S84.01-1996 20
4 ABREVIACIONES 23
5 CONCEPTOS Y DEFINICIONES 25
5.1 Qu es el Riesgo? 25
5.1.1 Riesgo Inherente 25
5.1.2 Riesgo Tolerable 26
5.1.3 Riesgo Individual. Principio ALARP 27
5.1.4 Riesgo geogrfico 29
5.1.5 Riesgo en la sociedad 29
5.1.6 Factor de Reduccin de Riesgo (RRF) 29
5.10 Comisionamiento 34
5.14 Dao 35
5.16 Demanda 35
2
ndice Sistemas Instrumentados de Seguridad
5.18 Desmantelamiento 35
5.22 Dispositivos 36
5.23 Diversidad 36
5.26 Error 37
5.30 Fallo 37
3
ndice Sistemas Instrumentados de Seguridad
5.50 MTTF 42
5.51 MTTR 42
5.52 MTBF 42
5.61 Sensor. 44
5.68 Validacin. 45
5.69 Verificacin. 46
8 ANEXOS 236
8.1 ANEXO A: Vista general del ciclo de vida (IEC 61511) 236
6
ndice Sistemas Instrumentados de Seguridad
8.7 ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de Seguridad (SIF)
244
8.7.1 SRS: SIF N 1: 244
8.7.2 SRS: SIF N 2: 244
7
Introduccin Sistemas Instrumentados de Seguridad
1 Introduccin
La seguridad en las plantas es la mayor preocupacin en la industria de procesos
Safety first 1. Plantas qumicas, petroqumicas, de refino del petrleo, etc., necesitan
implementar soluciones para resolver este problema. Como veremos ms adelante un
sistema instrumentado de seguridad (SIS), tambin referido como sistema de paro de
emergencia (ESD 2) se instala en un proceso industrial para prevenir situaciones de riesgo
por descontrol del proceso que puede llevar a una situacin de peligro, reduciendo el riesgo
que puede llegar a ser peligroso a un riesgo tolerable, reduciendo la frecuencia de
incidentes y accidentes no deseados, parando el proceso antes de que se produzca el
posible accidente. Por tanto, el propsito final del SIS es llevar el proceso y/o equipos
especficos del proceso a un estado seguro mediante instrumentacin y control. La cantidad
de reduccin de riesgo que el SIS debe proporcionar viene representada por su nivel de
integridad de seguridad (SIL), que se define como un rango de probabilidad de fallo en
demanda.
Por otro lado, tambin existe la posibilidad de que algn elemento del sistema de
seguridad falle y nos lleve el proceso a un estado seguro sin que se haya producido ningn
evento peligroso, es lo que se conoce como paros en falso (spurious trips), estos tambin
han de ser considerados a la hora de aplicar un sistema de seguridad.
Por esta razn se ha de asegurar en el diseo de un sistema instrumentado de
seguridad que cumpla con dos premisas claves, seguridad y disponibilidad en el proceso.
Las instalaciones industriales almacenan, procesan, y generan sustancias peligrosas,
que tienen asociado un determinado nivel de riesgo dependiendo de la posibilidad que
exista de provocar consecuencias adversas sobre receptores vulnerables (personas, bienes
materiales y medio ambiente) como resultado de efectos no deseados (trmicos, fsicos y
qumicos) originados por sucesos incontrolados en sus instalaciones. Un sistema
instrumentado de seguridad percibe una desviacin de las condiciones normales de proceso
que pueden llevar a un peligro para la integridad de las personas, medio ambiente y la
propia instalacin y es entonces cuando toma la accin para llevar el proceso a un estado
seguro, previniendo un accidente no deseado.
Estos riesgos potenciales exigen que las plantas adopten estrictos criterios de diseo
en las instalaciones y equipos y en la necesidad de implantar medidas de seguridad. Estas
medidas de seguridad se traducen en mltiples capas de proteccin (figura 1.1) de las
instalaciones.
8
Introduccin Sistemas Instrumentados de Seguridad
1 http://en.wikipedia.org/wiki/Flixborough_disaster
10
Introduccin Sistemas Instrumentados de Seguridad
1976- Seveso 1, Italia. Prdida a la atmsfera de una nube de TCP cloro y dioxina
como consecuencia de la fisura de un disco de rotura producido por una reaccin
exotrmica incontrolada de 2-4-5-triclorofenol (TCP). Quedaron inservibles ms de 4 km a
la redonda de tierras cultivables y el nmero de heridos y muertos por el escape no fue
informado, pero ms de 470 personas fueron atendidas por intoxicacin.
Estos dos accidentes dieron origen a una serie de normas y leyes en cuanto a la
seguridad de procesos, por parte de los entes reguladores europeos.
Una fecha clave para el inicio de la reglamentacin de los sistemas de seguridad en
Estados Unidos la encontramos en diciembre de 1984, con la explosin y fuga de 24
toneladas de metilisocianato, mientras se realizaban tareas de mantenimiento en una planta
qumica que Unin Carbide posea en Bhopal (India), donde oficialmente se habl de 2500
muertos, ms de 200000 personas con lesiones, un desastre ecolgico incalculable y una
herencia de problemas para las sucesivas generaciones. Desde esta fecha se empez a crear
normas reglamentarias.
As en Estados Unidos y Europa (Alemania principalmente) empezaron a nacer
diferentes organizaciones y normas que proporcionaban directrices para sus sistemas de
parada de emergencia.
OHSA 2 en Estados Unidos y paralelamente Seveso Directive 3 en Europa, fueron
las primeras normas de regulacin que aparecieron, siendo la Directiva Seveso, creada el
24 de junio de 1982, la primera norma de obligado cumplimiento para los pases miembros
de la CEE. El 9 de diciembre de 1996 fue sustituida por la Directiva Seveso II, siendo de
obligado cumplimiento a partir del 3 de febrero de 1999, finalmente en 2005 se propugn
el RD 119/2005 de 4 de febrero, conocido como SEVESO III. Segn Seveso III un
accidente grave es cualquier suceso, tal como emisin en forma de fuga o vertido, incendio
o explosin importantes que suponga una situacin de grave riesgo, inmediato o diferido,
para personas, bienes y medio ambiente, bien sea en el interior o exterior de la instalacin,
y que estn implicadas una o ms sustancias peligrosas. La directiva Seveso fue traspuesta
al ordenamiento jurdico espaol mediante el R.D. 1254/1999, por el que se aprueban las
medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan
sustancias peligrosas, este a su vez es modificado por el R.D. 948/2005.
La directriz bsica para la elaboracin y homologacin de los planes especiales del
sector qumico est recogida en el R.D. 1196/2003, en ella se indica las bases y criterios
para la correcta organizacin de las emergencias derivadas de accidentes, estableciendo los
criterios mnimos de contenidos de los planes de emergencia interior (PEI) y exterior
(PEE).
Una norma de referencia en todo el mundo aunque no de obligado cumplimiento en
Espaa al no estar recogida en la legislacin espaola es la normativa de obligado
cumplimiento en Estados Unidos y perteneciente a OHSA, 29 CFR 1910.119 Process
safety management of highly hazardous chemicals.
1 http://es.wikipedia.org/wiki/Desastre_de_Seveso
2 OHSA: Occupational Safety and Health Administration, Administracin de Seguridad y Salud
Ocupacional emitida por el Departamento de Trabajo de los Estados Unidos.
3Seveso Directive I and II se trata de una recopilacin de leyes editada por la Comisin Europea de
medio ambiente encaminadas a la prevencin y control de accidentes qumicos.
11
Introduccin Sistemas Instrumentados de Seguridad
2 Alcance
El proyecto sita una gua de referencia para la realizacin de un Sistema
Instrumentado de Seguridad, desde la obtencin de las especificaciones de requerimientos
de seguridad, la realizacin de la ingeniera y del diseo, la instalacin, y su operacin y
mantenimiento, de forma que pueda ser confiable para llevar y mantener el proceso en un
estado seguro. Todo este trabajo ha sido desarrollado de acuerdo a los estndares vigentes
IEC 61511 (Seguridad funcional: SIS para procesos industriales) y la ANSI/ISA S84.01-
2004 (Aplicacin de SIS para procesos industriales).
En particular se pretende dar un enfoque para el desarrollo de un sistema
instrumentado de seguridad destacando la importancia que representa la seguridad en
cualquier industria de proceso y en particular en la industria qumica.
La filosofa de las compaas est cambiando, se adoptan lemas como la Seguridad
es lo primero, sin seguridad no hay produccin, etc. y crean estndares internos de
obligado cumplimiento referentes a seguridad, tanto generales como en particular de
proceso.
Es muy importante que las empresas y todo personal integrado en el proceso de
fabricacin, produccin, mantenimiento e ingeniera y en particular el personal encargado
del control y automatizacin estn familiarizadas con los estndares de seguridad
internacionales, conceptos y buenas prcticas que hacen que sus procesos sean seguros a la
vez que confiables y disponibles.
En particular se tratarn los siguientes temas:
Criterio de Ciclo de vida de seguridad. Definicin de actividades que son
necesarias para determinar requerimientos funcionales y de seguridad para toda la
vida del sistema de seguridad.
Como detallar los requerimientos y especificaciones para lograr un nivel de
seguridad funcional objetivo y quien es el responsable de implementar estos
requerimientos.
Mostrar que tipo de instrumentos pueden ser integrados en un SIS.
Relacin entre las funciones instrumentadas de seguridad (SIF) y las funciones de
control.
Como asignar niveles de integridad de seguridad (SIL) a las diferentes funciones
del proceso y como resolver que funciones son las que se convertirn en
funciones instrumentadas de seguridad, despus de haber reducido el riesgo
aplicando otros sistemas de reduccin de riesgo. Identificar los requerimientos
funcionales y los requerimientos integrados de seguridad para estas funciones
instrumentadas de seguridad.
Especificacin de requerimientos para la arquitectura del sistema y configuracin
del hardware, aplicacin del software e integracin del sistema.
Implementacin de una o ms funciones de seguridad para la proteccin de
personas, mquinas y medio ambiente en general cuando no se ha logrado la
seguridad funcional del lazo.
13
Alcance Sistemas Instrumentados de Seguridad
14
Normativas y Estndares Sistemas Instrumentados de Seguridad
3 Normativa y Estndares
En el pasado las normas de seguridad se desarrollaron para aplicaciones concretas,
para tipos de industria o incluso para un pas especfico. Como ejemplo encontramos la
ANSI P1.1-1969 es una norma de consenso en la industria emitida por el Instituto Nacional
Americano de Estndares (ANSI) que define los requisitos de seguridad para las fbricas
que producen papel, pulpa y cartn.
El principal problema de este enfoque no global es que en plantas, e incluso
industrias completas, se produce el hecho que han de cumplir diferentes normas de
seguridad que se solapan, y que a menudo han sido desarrolladas con filosofas de diseo y
arquitectura completamente diferentes. A esto hay que sumar las diferencias entre normas
nacionales y regionales. Por lo que es prcticamente imposible estar seguro de que se ha
cumplido con las normativas vigentes, y se nos plantee la gran pregunta, qu norma cubre
y resuelve nuestra expectativa?
Ante esta complejidad normativa, las compaas usuarias de sistemas instrumentados
de seguridad necesitan definir sus propias normas para facilitar el cumplimiento de los
estndares de seguridad aplicables a sus instalaciones.
Es por lo que se crean asociaciones como IEC (Comisin Electrotcnica
Internacional) que desarrollan normas y estndares para que las empresas usuarias se
puedan proveer, dentro de un marco normalizado, de procedimientos y prcticas
recomendadas. As se crea, en el marco de la seguridad funcional de sistemas
instrumentados de seguridad en la industria de proceso, la IEC 61511 y para la seguridad
funcional de los equipos elctricos/electrnicos dedicados a seguridad la IEC61508.
Una razn por lo que las industrias redactan sus propios estndares, guas y prcticas
recomendadas que posteriormente se adoptan y discuten por expertos de los diferentes
estndares internacionales para su inclusin, es evitar la creacin de regulaciones
gubernamentales. Si la industria es la responsable de los accidentes, y estos no se regulan
es entonces cuando el gobierno puede intervenir para crear la regulacin, con peso de ley.
Es mejor que entidades internacionales expertas y asociaciones de industrias creen sus
propias regulaciones y estndares dentro del marco legal vigente y que finalmente
adquieran categora de norma, que proceder a una intervencin gubernamental.
Las normas de seguridad ms recientes se han desarrollado usando el criterio de
reduccin de riesgo y en el establecimiento de un grado definido de excelencia operacional
adoptando el concepto de ciclo de vida 1 del proyecto de seguridad.
Para industrias de procesos las normas ms relevantes son la IEC 61508, IEC 61511
y ANSI/ISA S84 (2004). Cada una de estas normas define qu se requiere para lograr el
cumplimiento normativo, y en el caso de la IEC 61511 y ANSI/ISA S84, cmo lograr el
cumplimiento por parte de los propietarios y operadores de planta.
1 El concepto ciclo de vida surge tras la publicacin en 1995 por parte del Ejecutivo Britnico de
Salud y Seguridad (Health and Safety Executive HSE) de un artculo titulado Fuera de control (Out of
control) donde se discute porqu fallan los sistema y cmo hay que prever los fallos. El artculo analiza las
causas de varios accidentes industriales que se originaron en fallos de sistemas de control. El resultado de
este estudio llev al desarrollo del concepto ciclo de vida de la seguridad funcional y que es definido en
diferentes estndares internacionales de seguridad como la ANSI/ISA S84.01, IEC 61508, IEC 61511.
15
Normativas y Estndares Sistemas Instrumentados de Seguridad
Estas normas internacionales se estn utilizando como directrices para demostrar que
en el desarrollo de los sistemas instrumentados de seguridad se han aplicado las mejores
prcticas de ingeniera.
Si bien estas normas y directrices no tienen fuerza de ley en la mayora de los
pases 1, s que ha aumentado la dependencia de los sistemas SIS, obligando a realizar una
metodologa que asegure que se alcanza un nivel de riesgo tolerable objetivo, tanto en el
proceso de fabricacin de los sistemas y equipos participantes en sistemas instrumentados
de seguridad, como en el diseo y desarrollo, comisionado y puesta en marcha y
mantenimiento del propio sistema de seguridad. Para facilitar y garantizar que las
compaas proveedoras y las propietarias del sistema han cumplido y se han adherido a
estos estndares, existen organizaciones auditoras y certificadoras independientes, TV,
FM, Exida y otras, que actan como terceros y certifican que nuestro sistema cumple
estrictamente con la norma.
1 Las normativas y prcticas recomendadas pueden tener peso de ley pero slo cuando son
incorporadas por referencia en la ley correspondiente o listada por la Directiva Europea.
16
Normativas y Estndares Sistemas Instrumentados de Seguridad
Este enfoque hizo que la IEC 61511, Functional Safety: Safety Instrumented Systems
for the Process Industry Sector (Seguridad funcional: Sistemas instrumentados de
seguridad para el sector de las industrias de procesos), sea la norma de seguridad que la
mayor parte de las industrias de procesos eligen como estndar para el desarrollo de sus
guas internas propias y documentos internos para la implementacin de sus Sistema
Instrumentados de Seguridad. La IEC 61511 es un estndar publicado por la IEC
International Electrotechnical Comisin donde se establece una base para el uso de
dispositivos elctricos y/o electrnicos programables en el diseo de Sistemas
Instrumentados de Seguridad en la industria de proceso. Establece cuales son los pasos en
el ciclo de vida de un SIS desde su concepcin hasta su desmantelamiento, y est dirigida
fundamentalmente al diseador, ejecutor y usuario final de los sistemas de seguridad.
Por tanto la IEC 61511 aplica a los usuarios finales en la industria de procesos.
Est basada en dos conceptos fundamentales: el ciclo de vida de seguridad del SIS y
el nivel integro de seguridad, SIL. Tiene 3 partes:
Parte 1: Requisitos
Parte 2: Directrices de aplicacin de IEC 61511-parte 1
Parte 3: Seleccin del SIL
La IEC 61511 es una norma que incluye y se basa en el concepto ciclo de vida, esto
facilita el uso de otras normas o prcticas basadas en el ciclo de vida. Este modelo de ciclo
de vida de seguridad funcional es usado y recomendado por agencias reguladoras y otros
organismos como:
La agencia ISO Organizacin Internacional de Normas para la calidad del
producto y servicio.
HSE Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades
relacionadas con la seguridad.
17
Normativas y Estndares Sistemas Instrumentados de Seguridad
18
Normativas y Estndares Sistemas Instrumentados de Seguridad
Todas estas actividades permiten cumplir con el requisito central de la norma IEC
61511:
Dependiendo de dnde est ubicado el SIS, es posible que la conformidad con IEC
61511 o con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir
la norma tiene sentido. El resultado de la IEC 61511 es un riguroso conjunto de prcticas
recomendadas para disear, implementar, verificar, operar y mantener sistemas
instrumentados de seguridad robustos y fiables. Es una buena muestra de ayudar a
garantizar la seguridad de la planta y por tanto del entorno social, a la vez que puede
minimizar costos de operacin.
El hecho de haber cumplido con la norma, incluso si no es de obligado
cumplimiento, puede ser til en caso de ocurrir algn incidente de seguridad. Las
investigaciones posteriores a un accidente o vertido de producto al medio ambiente
involucran a agencias gubernamentales que tienen autoridad para abrir una va de
investigacin e imponer sanciones si es preciso, incluso sanciones penales y clausura de
actividades. Entre las preguntas que pueden hacer estn:
Ha ocurrido alguna clase de incidente o accidente en esta compaa
anteriormente?
Qu procesos proactivos se utilizaron para identificar los riesgos?
Qu mtodos se usaron para cuantificar los riesgos?
Qu acciones se usaron para mitigar los riesgos?
Qu proceso se sigui para garantizar que se desplegara la mitigacin
adecuadamente?
Qu procesos estn implementados para garantizar que la solucin de mitigacin
contine funcionando como se espera?
Etc.
Las respuestas a estas clases de preguntas son exactamente lo que nos da la
aplicacin de la norma IEC 61511. El haber cumplido y seguido la norma IEC 61511
durante todo el ciclo de vida facilitar mucho las investigaciones sobre un hipottico
accidente o incidente y dar un punto de vista objetivo de cmo se realizaba la seguridad
del proceso.
Es muy importante que todas las tareas realizadas durante el ciclo de vida de un
sistema de seguridad estn adecuadamente documentadas. La Clusula 19 recopila los
requisitos de informacin que exige la norma IEC61511 con el fin de asegurar de que se
dispone de la documentacin necesaria de forma que se puedan realizar las evaluaciones y
validaciones que se requieran.
19
Normativas y Estndares Sistemas Instrumentados de Seguridad
3.2 ANSI/ISA-S84.01-1996
ANSI/ISA-S84.01-1996 Application of Safety Instrumented Systems for the process
industries.
Es una norma que ha sido reemplazada por IEC 61508 y IEC 61511 en el 2004
cuando se denomin ANSI/ISA-S84.00.01-2004 (IEC 61511Mod), son normas
equivalentes y ambas con tres partes. Se trata de una norma creada en Estados Unidos en
1996 y que recientemente ha sido armonizada con la IEC 61511, con la excepcin que las
instalaciones que actualmente usan la versin de 1996 de S84 continen hacindolo
siempre y cuando se determine que el equipo de seguridad se disee, se mantenga, se
inspeccione, se pruebe y se opere de una manera segura.
Es una norma de la ANSI American Nacional Standards Institute en la que se
establece una base para el diseo de Sistemas Instrumentados de Seguridad en la industria
de proceso, incluyendo tecnologa elctrica, electrnica, y electrnica programable.
Asimismo establece cuales son los pasos en el ciclo de vida de un SIS desde su concepcin
hasta su desmontaje. Est dirigida fundamentalmente al personal que participa en el
desarrollo y fabricacin de los SIS, en la instalacin, en el comisionado y en todas las fases
del ciclo de vida de un sistema de seguridad.
Como se ha comentado en la introduccin, hace aos y despus de un elevado
nmero de accidentes en las industrias, sobre todo del sector qumico, los expertos en
seguridad comenzaron una profunda revisin de las normas de seguridad existentes,
llegando a la conclusin de que estas eran especficas en la industria y no podan
relacionarse entre ellas.
A partir de estos razonamientos se form el comit ISA SP84. Seguidamente se opt
por usar el modelo Ciclo de Vida basado en rendimiento y como resultado apareci la
ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems for the Process
Industries (Aplicacin de sistemas instrumentados de seguridad para las industrias de
procesos).
IEC61508
20
Normativas y Estndares Sistemas Instrumentados de Seguridad
ACLARACIN: Las normativas y prcticas recomendadas pueden tener peso de ley pero
slo cuando son incorporadas por referencia en la ley correspondiente o listada por una
Directiva Europea. As existe una jerarqua de las guas para la seguridad en procesos
industriales tal que:
Legislacin: Leyes dictadas por las autoridades correspondientes, con carcter
local, estatal o nacional.
Regulacin: Reglas, las cuales tienen peso de ley, a travs de la delegacin de
autoridad. P.ej. OHSA, Seveso Directive.
Normativa: Consenso de un grupo de industrias acerca del mnimo nivel de
ingeniera aceptable. P.ej. IEC 61511
Prctica Recomendada: recomendaciones de un grupo de industrias. P.ej.
Buenas prcticas de una compaa qumica.
Existen muchas otras normas y estndares aplicables a sistemas de seguridad,
dependiendo del tipo de industria a que aplique as:
NFPA 85: Boiler and Combustion Systems Hazard Code 2004. NFPA National
Fire Protection Assocoation es una asociacin internacional fundada en 1896 que tiene
como objetivo elaborar normativas, estndares y guas de consenso para la reduccin del
riesgo de incendios. La norma que ms nos afecta en procesos industriales es la NFPA 85
relativa a procurar seguridad en sistemas de combustin y tiene como objetivo la seguridad
de operacin y prevencin de incendios y explosiones en sistema de combustin, calderas
con mltiples quemadores. NFPA 85 aplicara a sistemas BMS Burner Management
Systems.Existe un gran debate entre las diferencias de un SIS y un BMS, puesto que
ambos son sistemas de proteccin muy similares con la diferencia que un BMS no trabaja
con niveles de integridad de la seguridad (SIL).
API RP 14C: Recommended Practice for Design, Installation, and Testing of Basic
Surface Safety Systems for Offshore Production Platforms. Publicada por el API
21
Normativas y Estndares Sistemas Instrumentados de Seguridad
22
Abreviaciones Sistemas Instrumentados de Seguridad
4 Abreviaciones
ALARP As Low as Reasonable Practicable
ANSI American National Standards Institute
BMS Burner Management System
BPCS Basic Process Control System (ej. PCS, DCS)
CEM Cause Effect Matrix
CCRC Competence Center for Responsability Care
CFSE Certified Functional Safety Expert
DC Diagnostic Coverage
E/E/PES Electrical/Electronic/Programmable Electronic System
EMC Electromagnetic Compatibility
ESD Emergency ShutDown System
FAT Factory Acceptance Testing
FM Factory Mutual
FMEDA Failure Modes, Effects and Diagnostic Analysis
FMS Management of Functional safety
FTA Fault Tree Analysis
F&GS Fire&Gas System
HAZOP HAZard and Operability Studies
HMI Human Machine Interface
IEC Internacional Electrothecnical Comisin
ISA Instrumentation, Systems and Automation Society
LOPA Layer of Protection Analysis
MooN M out of N
MTBF Mean Time Between Failures
MTTF Mean Time To Fail
PFD Probability of Failure on Demand
PFDavg Average Probability of Failure on Demand
PFS Probability of Failure Spurious
PHA Process Hazard Analysis
P&ID Process & Instrumentation Diagram
PSM Process Safety Management
PST Partial Stroke Test
RRF Risk Reduction Factor. Inverso de PFDavg
23
Abreviaciones Sistemas Instrumentados de Seguridad
24
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5 Conceptos y Definiciones
5.1 Qu es el Riesgo?
Una planta, un proceso qumico obviamente conlleva un riesgo, que ha de ser
minimizado y controlado. El objetivo de cualquier compaa es conseguir el riesgo cero,
aunque es importante reconocer que el riesgo cero no existe.
Como definicin el riesgo es una medida resultado de la combinacin de la
probabilidad de que se produzca un evento peligroso y de la consecuencia de dicho evento.
El riesgo puede ser evaluado cuantitativamente o cualitativamente.
Riesgo = Frecuencia Con sec uencia
n muertes/ao ao-1 n de muertes
perdidos/mes mes-1 prdidas econmicas ()
kg fuga/hora hora-1 kg sustancia fugada
etc.
Aunque en las normas de seguridad como la IEC 61511, el riesgo se centra en riesgo
personal y riesgo para el medio ambiente, la mayora de compaas extienden las
categoras y factores de riesgo e incluyen:
Seguridad y salud pblicas.
Interrupciones de produccin y problemas de calidad.
Costos de responsabilidad civil.
Daos a equipos y costos de reparacin.
Prdida de imagen de la empresa.
El riesgo puede ser expresado de mltiples formas. Depender de 2 factores:
Quien o que est expuesto al riesgo: empleados, sociedad pblica, medio
ambiente, equipos y mquinas, etc.
Cul es la consecuencia del riesgo: Fatalidad, daos, daos temporales o
permanentes al medio ambiente, prdidas financieras, etc.
25
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Por definicin el riesgo inherente es el riesgo que existe debido a la naturaleza del
proceso, incluyendo el equipo y sustancias presentes.
As la evaluacin del proceso ayudar a determinar la probabilidad de que ocurra un
evento de riesgo, y la evaluacin de las sustancias (tipo y cantidad) ayudar a determinar
las consecuencias del riesgo.
Por ejemplo en un tanque de amoniaco presurizado podemos ver diferentes riesgos
inherentes que pueden llevar a una fuga de amoniaco como la rotura del tanque por un
exceso de presin, fugas en uniones de tubera, fugas en las empaquetaduras de vlvulas,
fallos del sistema de control en mantener la presin del tanque. Cada uno de estos riesgos
tiene una probabilidad y las consecuencias dependen de los peligros de exposicin del
personal al amoniaco.
26
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
1 OSHA, Occupational Safety and Health Administration, agencia creada por el departamento de
trabajo de EEUU.
2 ACGIH, American Conference of Governmental Industrial Hygienists. Desarrolla, recomienda y
publica los lmites mximos de exposicin a productos qumicos peligrosos.
3 HSE, Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades relacionadas con la
seguridad.
27
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
28
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
29
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Moral: hacer la planta tan segura como sea posible sin importar los costos.
Legal: Cumplir con las regulaciones escritas, sin importar los costos y el nivel real de
riesgos.
Financiera: construir la planta ms econmica posible y mantener el presupuesto de
operacin lo ms pequeo posible.
Se ha de buscar el punto donde los tres apartados encajen, por lo que el riesgo al
igual que el beneficio debe ser medido para determinar de manera ms inteligente la mejor
opcin a seguir ante cualquier situacin.
Bibliografa y referencias
[1] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Process Safety Progress, American Institute of Chemical Engineers, 1999 AIChE.
[4] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[5] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[6] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
30
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
31
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Funcin de
Condiciones de proceso Lo que se tiene que hacer SIL
Seguridad
SIF n 1 Presin alta Salida accionamiento 1 1
SIF n 2 Presin alta-alta Salida accionamiento 1 + 2 3
Por tanto el PFD de todo el lazo estar formado por el PFD de todos sus
componentes de la SIF, as podremos determinar el SIL de cada funcin instrumentada de
seguridad, es decir la siguiente SIF n1 (figura 5.3.2):
PFDSIF 1 = PFDFV 101 + PFDPT 101 + PFDPLC _ SEGURIDAD + PFDOTROS _ ELEMENTOS _ LAZO (2)
Figura 5.3.3 Aplicaciones de SIS por tipo de industria y por tipo de equipo.
Bibliografa y referencias
[1] Seminario: Descripcin general de la Seguridad. EMERSON Process Management, Tarragona, Junio
2006.
33
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.10 Comisionamiento
Verificacin y confirmacin de que el SIS ha sido instalado y cumple con las
caractersticas especificadas en la documentacin del diseo detallado y se encuentra listo
para las pruebas de pre-arranque. Son las pruebas de aceptacin en sitio (SAT).
34
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.14 Dao
Lesin fsica o perjuicio a la salud de la poblacin directa o indirectamente como
resultado de dao a la propiedad o al medio ambiente.
5.16 Demanda
Una condicin o evento que requiere que el SIS lleve a cabo una accin apropiada
para prevenir un evento peligroso, o para mitigar sus consecuencias.
5.18 Desmantelamiento
O descomisionado. Es la anulacin por completo de un SIS de su servicio activo, y
una de las partes del ciclo de vida de seguridad.
35
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.22 Dispositivos
Unidad funcional de hardware, software, o ambas, capaz de cumplir un objetivo
especfico. Por ejemplo dispositivos de campo; equipos conectados en los terminales
input/output de campo de un SIS. Estos incluyen cableado, sensores, elementos finales de
control, sistemas programables (PLCs), y cualquier dispositivo interface operador
cableado a un SIS.
5.23 Diversidad
Uso de dispositivos y equipos con diferentes tecnologas y mtodos de diseo que
desempean una funcin de seguridad comn, de manera que minimizan las fallos de causa
comn.
36
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.26 Error
Discrepancia entre el valor observado, medido o procesado y el valor verdadero,
especificado o tericamente correcto.
5.30 Fallo
Condicin no normal que puede causar una reduccin o prdida de la capacidad de
una unidad funcional para realizar su funcin requerida.
37
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
40
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Tabla 5.50.1: IEC 61511. Nivel integro de seguridad (SIL) probabilidad de fallo en demanda
41
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Tabla 5.50.2: IEC 61511. Nivel integro de seguridad (SIL) Frecuencia de fallos peligrosos del SIF
5.50 MTTF
Mean Time to Fail. Tiempo medio para fallos. Tambin podemos encontrarlos con
los aadidos peligroso MTTFD y falso MTTFspurious. Fallos peligrosos son tpicamente
los de tipo pasivo o no revelado, no detectados. En falso se refiere a aquellos que disparan
una activacin innecesaria del sistema y se asocian a un fallo activo, revelado o detectado
de un elemento del sistema. Un tiempo medio de disparo en falso es el tiempo medio para
que presente un fallo el SIS en un paro en falso del proceso o del equipo bajo control.
MTTF se usa para determinar la disponibilidad del sistema. es la tasa de fallos.
MTTF = 1 / (6)
5.51 MTTR
Mean Time to Repair. Es el tiempo medio necesario para la reparacin de un mdulo
o elemento de un SIS. El tiempo medio es medido desde que ocurre el fallo hasta que la
reparacin es completa incluyendo la puesta en servicio del dispositivo.
5.52 MTBF
Mean Time between fail. Tiempo medio entre fallos teniendo en cuenta el tiempo
medio de un ciclo de fallo ms la reposicin del equipo. Aplica solo a sistemas que son
reparables.
MTBF = MTTF + MTTR (7)
42
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
43
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.61 Sensor.
Dispositivo o combinacin de dispositivos que miden condiciones y variables de
proceso y transmiten la informacin al sistema de control (p.ej. transmisores,
transductores, interruptores de posicin, termopares, sondas de pH, etc.).
44
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
nos dar la tasa de fallo promedio que es ms o menos la tasa constante durante la vida til
del equipo.
5.68 Validacin.
Actividad por medio de revisin y suministro de evidencia objetiva que los
requerimientos particulares para un uso particular y especfico son totalmente cumplidos.
Esta actividad demuestra que todas las funciones instrumentadas de seguridad y todos los
sistemas instrumentados de seguridad a considerar despus de su instalacin cumplen en
todo con la especificacin de los requerimientos de seguridad. Se realizan unas pruebas de
aceptacin en el sitio (SAT) y un test de seguridad antes de arrancar (Pre-Startup
Acceptance Test (PSAT)).
45
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.69 Verificacin.
Confirmacin por medio de revisin y suministro de evidencia objetiva del
cumplimiento total de los requerimientos. Con esta actividad se ha de demostrar para cada
fase del ciclo de vida de seguridad por medio de anlisis y tests, que, para especficas
entradas (inputs), las salidas (outputs) se ajustan en todo respecto a los objetivos y
requerimientos puestos por la fase en cuestin.
La verificacin de actividades incluye:
Revisiones de salida de cada fase del ciclo de vida para asegurar el cumplimiento
con los objetivos y requerimientos de la fase a teniendo en cuenta las entradas
especficas de cada fase.
Revisiones de diseo.
Pruebas de funcionamiento en el diseo de productos para asegurar que
funcionan de acuerdo con sus especificaciones.
Pruebas de integracin de funcionamiento, donde diferentes partes de un sistema
son puestas de una manera gradual y realizando pruebas medioambientales para
asegurar que todas las partes del sistema trabajan juntas de la forma especificada.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related
Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998
[3] Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela. SRL,
setiembre 2003.
[4] EMERSON Process Management, Plantweb University, courses SIS, 2005.
[5] http://www.tuv.com/es/seguridad_funcional.html
[6] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[7] Fiabilidad y Seguridad: Su aplicacin en procesos industriales. Antoni Creus Sol. 2 edicin.
MARCOMBO, 2005.
46
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
47
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
48
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
Responsabilidades de ingeniera
Etapas del ciclo de vida de seguridad 1 y
E&I y aplicacin del principio de
actividades con responsabilidades E&I
cuatro ojos
Proyecto gestionado por
Personal de la Contratista
compaa externo
a) Revisiones de seguridad y participacin en
el proyecto. Ingeniero
Definicin de las funciones instrumentadas lder del
de seguridad requeridas y del nivel SIL Participacin de un proyecto
requerido. ingeniero E&I para la y
Especificacin de las SIF. contribucin especfica Ingeniero
Aclaracin de puntos adicionales resultado de E&I (ME) E&I de la
de un checklist. compaa
Participar en las diferentes revisiones de (ME)
seguridad.
Diseo
Desarrollo del realizado
diseo por el por el
b) Especificaciones, diseo bsico y de detalle.
ingeniero contratista y
Discusin de los requerimientos. responsable E&I. aprobado
Determinacin de redundancia, lazos y (DE) por el
diagramas tpicos, seleccin de los dispositivos ingeniero
Confirmacin por
E&I, concepto de automatizacin, E&I de la
un segundo
procedimientos para el test funcional, etc. compaa.
ingeniero E&I.
(ME) (DE) y
(ME)
Documentos Documentos
c) Revisin de conformidad
suministrados y entregados
A partir de las evaluaciones de seguridad y del firmados por el por el
diseo bsico y de detalle(ver apartados a y Ingeniero E&I de contratista,
b), aprobacin por firmas (en cada hoja) de los diseo (DE). Un
Aprobacin
siguientes documentos de ingeniera bsica y segundo Ingeniero E&I por
Tabla 6.1.3.1: Responsabilidades para las actividades del ciclo de vida de seguridad
equipo este formado por expertos tanto tcnicos, como de aplicacin y operacin de cada
instalacin unitaria. La seleccin del personal que debe realizar la evaluacin debe ser la
adecuada para cada unidad de planta. El equipo de evaluacin debe incluir como mnimo
un ingeniero snior no involucrado con el equipo de diseo del proyecto.
Las etapas en el ciclo de vida de seguridad donde se realicen actividades de
valoracin y evaluacin de seguridad funcional sern identificadas durante la planificacin
de seguridad.
Es posible que sea necesario introducir actividades adicionales de evaluacin de
seguridad funcional como consecuencia de identificar nuevos peligros/riesgos, por ejemplo
despus de una modificacin.
1 Figura 7.1.1 Ciclo de vida de seguridad segn IEC 61511. Captulo 7.1.
2 Figura 7.1.3 Ciclo de Vida de Seguridad SIS ejemplo. Captulo 7.1.
52
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
Tabla 6.2.2.1: Implementacin de las actividades de valoracin y revisin durante el ciclo de vida
53
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
54
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Aos 80:
Comienzo de uso de PLCs.
1 generacin de Sistemas de seguridad. TMR (Triple Modular
Redundancy) (Ej. Tricon de TRICONEX).
Se desarrolla el procedimiento HAZOP.
Sin embargo los accidentes continuaban.
1 Referencia: Trenes in Process Safety, Ass Ghosh, ARC Advisory Group, July 2004
55
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Aos 90:
Nacen los PLCs de seguridad
2 generacin de sistemas de seguridad. Emplean un alto nivel de
diagnstico (D) acoplado a tcnicas de votacin (1oo2D, 2oo3) para
proveer seguridad y disponibilidad con ms tolerancia a fallos y menor
coste que los sistemas de primera generacin. Ej. H41q/H51q de HIMA,
FSC de Honeywell, evolucin de Tricon de TRICONEX. Sistemas
certificados por TV segn el estndar IEC 61508 a finales de la dcada de
los 90.
Se desarrollan estndares para los PLCs de seguridad.
Aparecen las arquitecturas con diagnstico.
Se desarrollan metodologas para el anlisis cuantitativo de riesgos.
Se introducen metodologas para la identificacin sistemtica de riesgos.
Aos 2000:
Equipos certificados para aplicaciones de seguridad (Vlvulas,
transmisores, etc.) segn IEC 61508.
Aparece la 3 generacin de sistemas de seguridad FMR (Flexible Modular
Redundancy), certificados por TV segn IEC 61508. Ej. DeltaV SIS de
EMERSON, SIMATIC S7-F/FH de SIEMENS.
Ofrecen un alto nivel de diagnsticos.
Alta integracin con el DCS.
Son sistemas altamente modulares y escalables.
Ofrecen herramientas avanzadas de programacin.
Empiezan a incorporar tecnologa de bus de campo.
Se implantan los procesos basados en el ciclo de vida de seguridad.
Aplicacin de IEC 61511 y ANSI/ISA 84 (2004): Seguridad funcional -
Sistemas instrumentados de seguridad para la industria de procesos.
56
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Desde el inicio del proyecto, se empieza a estudiar la seguridad del proceso. Los
ingenieros de diseo seleccionan los equipos y la tecnologa a utilizar en el proceso que
ofrezcan una operacin segura. Luego se selecciona el sistema bsico de control que
permita operar las variables de proceso dentro de los lmites establecidos. Un buen diseo
del sistema bsico de control permite una reduccin significativa de los riesgos asociados
al proceso. Esta parte tratara el diseo conceptual del proceso, donde se desarrolla la
ingeniera bsica y de detalle del proceso, diagramas de instrumentacin, P&IDs, sistema
de control, hojas tcnicas de los equipos, forma de operacin, etc. Dentro de las capas de
proteccin del proceso estaramos hablando de la primera capa de proteccin (figura 1.1
Capas de proteccin, captulo 1 Introduccin) (figura 7.3. Capa de proteccin Control del
proceso)
57
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Algunas veces las variables salen fuera de control y el operador debe tomar la accin
para llevar el proceso a los valores predefinidos y pre-establecidos.
Es en este momento cuando se decide si se debe y es necesario implementar un
sistema integrado de seguridad, que pare el proceso cuando se violen unas condiciones que
hacen que el proceso se vuelva peligroso. Este sistema instrumentado de seguridad es un
sistema de paro y como todas las capas, contribuye a que el riesgo inherente del proceso se
reduzca a un riesgo tolerable. Se trata de la ltima capa de proteccin que encontramos en
seguridad funcional, estamos hablando de la capa de proteccin Sistema Instrumentado de
Seguridad (figura 7.5. Capa de proteccin Sistema Instrumentado de Seguridad). Si esta
capa de proteccin tambin falla o por cualquier razn no es capaz de llevar el proceso a
un estado seguro entran en accin las siguientes capas, que ahora pasan a denominarse de
mitigacin, (ver figura 1.1 Capas de proteccin, captulo 1 Introduccin). Las capas de
mitigacin intentan reducir el riesgo cuando el incidente ya se ha producido y son las que
se mencionan a continuacin en el orden que entran a actuar:
Capa de mitigacin Fuego y Gas (nivel de seguridad).
Capa de mitigacin Vlvulas de seguridad y Discos de ruptura (nivel de
seguridad activa).
Capa de mitigacin Diques y Muros de contencin (nivel de seguridad pasivo).
1 La metodologa HAZOP nos permite alarmar aquellas variables que se consideran necesarias. Para la
gestin de alarmas existe una gua: EEMUA publicacin 191 Alarm Systems - A Guide to Design,
Management and Procurement (1999) y la norma ANSI/ISA-18.2-2009 Management of Alarm Systems for
the Process Industries. Asimismo existen publicaciones como The Alarm Management Handbook 2nd
Edition. Hill Hollifield and Eddie Habibi, published by PAS, (2010).
58
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografa y referencias:
[1] Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[2] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
59
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
60
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
La figura 7.1.1 muestra el ciclo de vida de seguridad SIS segn la norma IEC 61511
y la figura 7.1.3 muestra un ciclo de vida de seguridad SIS ejemplo.
Donde las etapas 1 hasta 5 estn definidas en el captulo 6.2.2 y son etapas de
evaluacin de seguridad recomendadas. El contenido de las clusulas puede ser consultado
en la norma IEC 61511 Parte 1, de la misma forma que las 11 fases o actividades de que se
compone el ciclo de vida de seguridad segn IEC 61511. Cada fase del ciclo de vida la
norma IEC 61511 la define en trminos de entradas, salidas y actividades de verificacin.
(Ver ANEXO A: Vista general del ciclo de vida (IEC 61511)).
Como vemos el ciclo de vida lo podemos dividir en 3 partes importantes:
Anlisis
Implementacin
Operacin
61
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Las tres fases del Ciclo de Vida de Seguridad Funcional estn dirigidas a resolver las
causas de los accidentes identificados en el artculo publicado por el Ejecutivo Britnico de
Salud y Seguridad (HSE) (figura 7.2 Causas ms comunes de accidentes debido a los SIS.
Captulo 7). La fase anlisis est enfocada a resolver y evitar el 44% de los fallos debido a
errores de especificacin, la fase implementacin o ejecucin est enfocada a resolver el
21% de los accidentes provocados por errores durante el diseo, la implementacin y la
puesta en servicio y la fase operacin intenta minimizar el 35% de los accidentes caudados
por incorrecta operacin o mal mantenimiento, adems de por cambios realizados despus
de la puesta en marcha del sistema.
El siguiente ciclo de vida de seguridad (Figura 7.1.3), se trata del ciclo de vida que
utiliza el ejemplo real de una organizacin y como se puede observar difiere bien poco del
ciclo de vida propuesto por la norma IEC 61511, est totalmente basado en esta norma y en
la norma ANSI/ISA S84.01 y las modificaciones ms sustanciales las encontramos en que
el ejemplo incluye pasos de revisin en el ciclo de vida de seguridad del proceso (safety
review). En este ciclo de vida propuesto es obligado que los objetivos de todos los pasos de
revisin de seguridad desde 1 a 4 se hayan realizado antes de poner en funcionamiento el
SIS.
Los proyectos deben incluir las actividades que revisan el concepto de seguridad en
el proceso y valora el riesgo asociado con cada peligro potencial. Para aquellos riesgos que
para ser mitigados requieran de un SIS, un valor meta de SIL (Nivel Integrado de
Seguridad o nivel de seguridad exigible a las diferentes funciones de seguridad) ha de ser
establecido para cada SIF (Funcin Instrumentada de Seguridad). El valor objetivo
propuesto de SIL se identificar durante las revisiones de seguridad y sern usados como
base para el diseo del SIS. Las especificaciones de los requerimientos de seguridad (SRS)
se elaboran combinando los valores deseados de SIL junto con otros requerimientos que
definirn completamente los requisitos de cada SIF. Durante el diseo del proceso, cada
SIF propuesta es evaluada para determinar su probabilidad de fallo en demanda media
(PFDavg). Este PFDavg ser recogido en un documento donde se certificar que cumple
con el SIL objetivo demandado. Las siguientes tareas del ciclo de vida van encaminadas
como gua para instalar, testear, operar y mantener el SIS seleccionado.
62
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Todas las subactividades encaminadas a definir el valor objetivo del SIL estarn en
lnea con el sistema de ejecucin del proyecto existente. El equipo que revisa el proyecto 1
es el responsable de asegurar que todos los aspectos del Ciclo de Vida de Seguridad, antes
del Paso 2 de revisin, se han realizado incluido la determinacin del SIL objetivo. El
equipo de revisin de seguridad normalmente consulta o incluye personal especialista de
cada disciplina que considere oportuna como, ingenieros E&I y mecnicos e ingenieros de
sistemas de control para obtener una mejor visin del alcance del proyecto.
Bibliografa y referencias:
[1] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
1 Team assessement. Ver captulo 6.2.2 Evaluacin y revisin de las actividades durante el ciclo de
vida.
63
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
[4] Artculo: Herramientas para la gestin automatizada de un SIS en todo su ciclo, Autor: Luis Garca,
publicado en julio 2005 en la revista Automtica e Instrumentacin.
64
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
65
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Frecuencia
Nivel del
objetivo
impacto del Consecuencias
tolerable por
evento
ao
Menor Impacto inicialmente limitado a un rea local del evento con un
potencial para una consecuencia ms amplia si no se toman
acciones correctivas. Fugas dentro de barreras de contencin
1.0 x 10-3
cuyas consecuencias al ambiente son conocidas (ruido, olores,
impacto visual detectable, derrame externo controlable en un
da)
Severa Es aquella consecuencia que podra causar cualquier lesin o
fatalidad seria en el lugar o fuera de l, o bien un dao a la
propiedad econmico tanto dentro (1 M $) como fuera (5 M $). 1.0 x 10-4
Fugas fuera de los lmites sine efectos adversos (el derrame
externo se puede controlar en pocos das)
Catastrfico Es aquella consecuencia que es 5 o ms veces severa que un
accidente de consecuencias SEVERAS. Fuga fuera de los lmites
(Extensiva) 1.0 x 10-5
de contencin con efectos adversos (derrame no controlable en
pocos das)
Como podemos ver es un poco ambigua, y queda siempre bajo el criterio de los
responsables de planta el decidir qu tipo de riesgo consideran aceptable y por tanto no
precisa de un SIS. Pero resumiendo, podemos concluir que con la informacin de la
magnitud de la consecuencia, la probabilidad de que ocurra un evento peligroso y el nivel
de riesgo que puede tolerar la empresa, se determina el uso del SIS.
67
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Como siempre es fundamental tener unos buenos procedimientos para diseo de control,
operacin y mantenimiento para realizar un mejor desempeo del sistema de seguridad. El
captulo 7.3 Asignacin del SIL objetivo se presenta de una manera ms explcita este
asunto.
detalle muchas veces no quedan bien definido donde est la frontera entre ambos las
compaas en sus estndares suelen referirse a ingeniera y diseo del SIS. De hecho es
como se refiere en la norma IEC61511 en el ciclo de vida (Clusulas 11 y 12) (figura 7.1.1
Ciclo de vida de Seguridad SIS segn IEC 61511. Captulo 7.1 Ciclo de Vida de
Seguridad).
1 FAT (Factory Acceptance Test). Pruebas funcionales de la programacin del SIS antes de su
instalacin.
70
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
esta forma nos aseguramos que el diseo conceptual cumplir con el SIL objetivo y por
tanto con la especificacin de requerimientos de seguridad.
El diseo conceptual del SIS y la verificacin del SIL objetivo establece los
parmetros para el diseo de detalle del sistema, es un punto clave en el cronograma de
obra del proyecto que requiere aprobacin y por tanto un paso o etapa de revisin 1 antes de
continuar con nuevas fases (ver Tabla 6.2.2.1: Implementacin de las actividades de
valoracin y revisin durante el ciclo de vida. Captulo 6.2,2).
Si la verificacin de la funcin instrumentada de seguridad muestra que el SIL
requerido no se ha logrado mediante el diseo propuesto, hay que redisear alguna o todas
las partes que componen el SIF. Existen varias opciones como:
Disminuir el requerimiento del SIL mediante la adicin de otras capas
independientes de proteccin.
Reducir el intervalo de pruebas peridicas, lo cual puede implicar la necesidad de
pruebas en lnea y pruebas parciales.
Escoger equipos con mejores caractersticas de seguridad. Menor tasa de fallos,
mejores diagnsticos, etc.
Cambiar la arquitectura aadiendo redundancia.
La verificacin del SIL ser tratado de una manera ms explcita en el captulo 7.6
Verificacin del Nivel Integrado de Seguridad (SIL).
72
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 Desviacin y reestablecimiento.
73
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Una vez terminada la validacin del sistema puede ser puesto en operacin. Si el SIS
un da opera por una demanda verdadera o falsa, debe efectuarse un anlisis para
determinar la causa y si el SIS ha operado segn lo previsto.
El personal de operativa y mantenimiento de planta han de conocer y entender cmo
opera el SIS para evitar que se tomen acciones que puedan resultar comprometidas para el
proceso y para el SIS.
Operacin y mantenimiento son tratados de manera ms explcita en el captulo 7.9
Operacin y Mantenimiento.
Bibliografa y referencias:
[1] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[4] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
74
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Para la elaboracin del Informe de Seguridad, el industrial deber tener en cuenta los
requisitos e informacin recogidos en la Directriz Bsica para la Elaboracin y
Homologacin de Planes de Especiales del Sector Qumico.
Por otra parte, la Direccin General XI de la Comisin Europea ha elaborado una
gua para la preparacin del Informe de Seguridad que cumpla con los requisitos de la
Directiva Seveso II.
Como aspectos novedosos que contempla esta gua y que no se encuentran en la
Directriz Bsica, se deben destacar los siguientes:
1. Informacin sobre el sistema de gestin y la organizacin, con vistas a la
prevencin de accidentes graves.
2. Entorno de la industria
Descripcin y anlisis de la vulnerabilidad de los elementos sensibles del entorno
de la planta, industria (medio ambiente, servicios pblicos, lugares de pblica
concurrencia, etc.)
Identificacin y anlisis de elementos externos que puedan agravar el riesgo de la
planta, industria (riesgo natural, actividades industriales, transportes de
mercancas peligrosas, etc.)
3. Descripcin de la instalacin
Descripcin de las principales instalaciones, equipos y actividades relevantes desde
el punto de vista de la seguridad de las fuentes de riesgos de accidentes graves, las
condiciones en las que se pueden producir estos accidentes, as como las medidas
preventivas y mitigadoras previstas. Para lo que contar con el estudio de los siguientes
aspectos:
Estudios de los procesos, operaciones bsicas y reacciones qumicas que puedan
en una situacin no controlada, originar un accidente.
Ingeniera de procesos y sistemas de seguridad.
Procedimientos de operacin en diferentes fases de la actividad (operacin
normal, parada de emergencia, arranque y paro, etc.).
Diseo e ingeniera de equipos y sistemas que procesan o almacenan sustancias
peligrosas (materiales, pilotajes, estanqueidad, equipos a presin, etc.).
Sistemas de correccin y tratamiento de residuos y contaminantes, tanto en
operacin como en emergencias.
4. Identificacin y anlisis de los riesgos de accidente y medios preventivos
El alcance del Informe de Seguridad ampla su mbito en los siguientes aspectos.
Identificacin de fuentes de riesgo de todo tipo:
En distintas fases de la actividad (diseo, ingeniera, montaje, explotacin,
cese de actividad, etc.).
Fallos o desviaciones en las condiciones normales de proceso.
Fuentes de riesgo externas.
Seguridad de la planta (intrusismo, sabotaje, etc.).
76
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
78
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El objetivo que se pretende alcanzar usando estos mtodos, est en reconocer las
situaciones peligrosas en actividades en las que se manejan materiales que implican riesgos
con el objetivo de revisar el diseo y establecer medidas correctoras o preventivas y por
otro lado identificar posibles escenarios de accidentes, con el fin de evaluarlos y
cuantificarlos. Un anlisis de riesgos, desde el punto de vista de un Sistema Instrumentado
de Seguridad, nos ha de facilitar el identificar las funciones instrumentadas de seguridad
(SIF) y el nivel de integridad de seguridad (SIL) que deben llevar asociado. Una Funcin
Instrumentada de Seguridad es la accin que un sistema instrumentado de seguridad toma
para llevar un proceso a un estado seguro cuando se enfrenta a un peligro potencial.
Del anlisis de riesgos hemos de obtener una descripcin de los peligros, de las
funciones de seguridad requeridas, y los riesgos asociados, incluyendo:
Identificacin de eventos que producen una situacin de peligro as como los
factores que contribuyen al evento peligroso.
Consecuencias y probabilidad del evento.
Condiciones de operacin (arranque, situacin normal de operacin y paro).
Reduccin de riesgo necesaria para alcanzar la seguridad requerida.
Asignacin de las funciones de seguridad a las capas de proteccin.
Identificacin de las Funciones Instrumentadas de Seguridad (SIF).
Este ejercicio de identificar funciones no es tan fcil como a priori parece.
Afortunadamente un anlisis de riesgos y peligros nos dar informacin suficiente para
determinar las posibles funciones de seguridad y las SIFs.
La correcta identificacin y anlisis de riesgos permitir tener una amplia visin de la
seguridad propia de la instalacin y nos permitir eliminar aquellos puntos de riesgo no
aceptables mediante un proceso iterativo de mejora y evaluacin posterior de la
instalacin, hasta obtener un nivel aceptable de riesgo. En la figura 7.2.2.2. Evaluacin
predictiva del riesgo, se facilita un esquema general en la que se seala la secuencia
normal de identificacin y anlisis de riesgos.
79
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
80
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Finalmente para cada una de las causas se anotan las consecuencias a que daran lugar, las
salvaguardias propias del sistema y finalmente las recomendaciones o comentarios que
fuesen precisos.
A continuacin se indican los trminos ms usados en la realizacin del mtodo
HAZOP:
Nodo: Punto especfico del proceso (un equipo o una lnea) en el que se evalan
posibles desviaciones del proceso.
Intencin: Descripcin de cmo se espera que se comporte el proceso en un
determinado nodo.
Desviacin: Forma en que las condiciones de proceso se alejan de su
comportamiento esperado.
Parmetro: La variable relevante para la condicin del proceso: p.ej. presin,
temperatura, nivel, composicin, pH, etc.
Palabra gua: Palabra que representa la desviacin de la intencin. Las ms usuales
son: no, ms, menos, diferente de, parte de, inverso, y palabras clave como
demasiado pronto, demasiado tarde, en lugar de, etc.
Causa: La razn o razones por las que podra ocurrir una desviacin.
Consecuencias: Los resultados de la desviacin en caso de que ocurra.
Salvaguardia: Instrumentos o protecciones del sistema que pueden ayudar a reducir
la frecuencia de ocurrencia de la desviacin o a mitigar sus consecuencias. Existen 5
tipos:
1. Medios destinados a detectar la desviacin, p.ej. instrumentacin de alarmas y
deteccin o la supervisin por parte de los operadores.
2. Instalaciones que compensan la desviacin, p. ej. Sistemas automticos de
control. Normalmente son una parte integrada dentro del control del proceso.
3. Instalaciones que previenen que ocurra una desviacin, p. ej. inertizar un
almacenamiento de productos inflamables.
4. Instalaciones que previenen un agravamiento de la situacin como consecuencia
de la desviacin, p. ej. disparo de una actividad por medio de enclavamientos
(podemos encontrar los SIS).
5. Instalaciones que alivian al proceso de la desviacin peligrosa, p. ej. vlvulas de
seguridad (SVs) y sistemas de alivio.
Recomendacin: Actividades identificadas durante el anlisis HAZOP para su
seguimiento. Incluye propuestas de modificaciones, mejoras que afectan a sistemas
de control (de sealizacin o de emergencia), condiciones de diseo de lnea y/o
equipos, etc.
Comentarios: Cualquier aclaracin a hacer a las recomendaciones o a aspectos
surgidos durante las sesiones HAZOP.
82
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.2.3.1 Procedimiento.
El procedimiento consiste en el estudio sistemtico y estructurado de una instalacin
equipo por equipo y lnea por lnea, llevado a cabo por un equipo multidisciplinar
(ingeniera, operacin, mantenimiento, seguridad, inspeccin y otras disciplinas que sean
necesarias) y liderado por un coordinador.
Esto se lleva a cabo mediante la aplicacin de una serie de palabras gua (no, ms,
menos, parte de, inverso, de otra forma, ms de, as como) a un conjunto de parmetros de
proceso como pueden ser, caudal, temperatura, pH, nivel, concentracin, presin, etc.
De la combinacin de las palabras gua con cada uno de los parmetros se obtienen
las desviaciones frente al comportamiento normal del proceso.
Precisar que el estudio debe comprender todos los estados o modos de
funcionamiento de la Unidad, como operacin normal, arranque y parada, por lo que los
nodos deben elegirse de forma que con ellos queden englobados todos los modos de
operacin.
Establecidas las desviaciones, se investigan mediante un proceso inductivo las causas
que pueden provocar esa desviacin en el nodo en ese modo de operacin.
Para esa causa, se investigan deductivamente las consecuencias posibles de la
desviacin, as como las salvaguardas que el proceso dispone para evitar la causa o mitigar
las consecuencias, llegando a una de las siguientes posibilidades:
a) Las consecuencias no entraan riesgo: descartar la consideracin de esta
desviacin.
b) Las consecuencias entraan riesgos menores o medianos: consideracin de esta
desviacin en la etapa siguiente.
c) Las consecuencias entraan riesgos mayores: consideracin de esta desviacin en
la etapa siguiente.
Para aquellas consecuencias, que aun disponiendo de salvaguardias impliquen un
riesgo, ser necesario adoptar acciones correctoras o recomendaciones que de alguna forma
palien la consecuencia o la causa. Las recomendaciones deben ser consensuadas entre el
grupo de trabajo. El coordinador asignar el estudio de la recomendacin a un miembro del
equipo que ser el encargado de contestarla e implantarla.
Finalmente, desviaciones, causas, consecuencias, salvaguardias y recomendaciones
deben quedar por escrito en un formato tipo, como se indica en la siguiente figura 7.2.3.1.
Modelo tabla HAZOP.
Esta secuencia operativa deber repetirse con todas las palabras gua, parmetros y
desviaciones para cada nodo, y finalmente para todos los nodos de la unidad a analizar.
Una secuencia lgica de trabajo o un procedimiento general de HAZOP puede verse
en la figura 7.2.3.2 HAZOP: Procedimiento general.
84
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Planificar los das en los que habr sesiones HAZOP y la duracin de las mismas,
informando al Jefe del Proyecto y a los miembros del equipo. As como el lugar
donde se realizarn las sesiones.
Estimar el coste del estudio.
Solicitar al Jefe del Proyecto toda la informacin necesaria que tendr que estar
disponible por cada miembro del equipo con suficiente antelacin.
Como ya se ha comentado el personal del equipo de trabajo debe estar
cuidadosamente elegido de manera que proporcione el conocimiento y experiencia
apropiados a los objetivos del estudio y al desarrollo del proyecto. Es muy importante que
las personas tengan amplios conocimientos en su campo, aunque no tengan experiencia en
el desarrollo de estudios HAZOP.
Es importante que el equipo no sea excesivamente grande para que sea eficiente
(aunque no siempre ocurra), lo ideal es tener un slo representante de cada disciplina con
suficientes conocimientos y capaz de tomar decisiones en cada momento. La seleccin del
grupo de trabajo englobar de 4 a 7 personas.
La composicin tpica del estudio HAZOP es la siguiente:
Coordinador del Estudio: generalista con experiencia en el mtodo a emplear, en
seguridad, en proyectos, y sobre todo en conduccin de reuniones. Es un
mediador.
Secretario: persona con un perfil similar al del coordinador y que forma parte del
equipo del coordinador, su cometido es:
Reunir, ordenar y aportar la documentacin de partida que se requiere para el
estudio.
Documentar el desarrollo de las reuniones, mediante actas.
Manejar las herramientas informticas que conducen, guan y auxilian el
mtodo escogido.
Preparar la informacin resultante del estudio.
Representante de Ingeniera de Proceso: con conocimiento profundo y detallado
del proceso, a veces puede ser preciso la presencia del licenciatario del proceso.
Representantes de Ingeniera de Proyectos involucrado en la ingeniera de detalle
de la unidad. (Mecnica e Instrumentacin y Control)
Ingeniero de Operacin: que conozca y tenga experiencia en la operacin de la
planta y proceso.
Especialistas: cuando se requieran, p. ej. expertos en materiales, en medio
ambiente, Ingenieros de Seguridad, Ingenieros supervisores de Mantenimiento,
etc.
Es muy importante la independencia del coordinador del resto del equipo HAZOP
con objeto de garantizar que la tcnica es sistemtica y rigurosamente aplicada.
86
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
87
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
88
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
partir de aqu se aplicarn las palabras gua y los parmetros establecidos y acordados a
cada nodo, con el propsito de generar desviaciones del proceso sobre todas las variables
posibles.
As en la siguiente tabla se muestra un ejemplo de un listado de desviaciones que se
aplica comnmente a todos los HAZOPs.
Fecha de Emisin Firma del Coordinador Fecha Resolucin Firma Responsable VB Coordinador
91
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
92
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
De este estudio HAZOP se toman las recomendaciones que deben ser implementadas
en un futuro. Una vez implementadas en una posterior revisin del HAZOP se van
indicando aquellas que ya han sido realizadas aadiendo en las columnas del HAZOP la
columna Status y la columna Realizado (done).
Bibliografa y referencias:
[1] Curso: Anlisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril
2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y
Victoriano Macas (INERCO).
[2] Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[4] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf. published by ISA, 2002.
Figura 7.3.1.1 Grfico de Riesgo recogido en el estndar IEC 61508 y correspondencia SIL
94
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El ndice SIL se determina con este grfico valorando cualitativamente los siguientes
cuatro parmetros:
Consecuencia (C): Nmero promedio de fatalidades que pudieron ocurrir como
resultado del peligro. Se determina calculando el nmero promedio de personas en el rea
de exposicin, cuando est ocupada, teniendo en cuenta su vulnerabilidad frente al evento
peligroso.
C1: Daos mnimos.
C2: Daos serios/permanente a una o ms personas.
C3: Muerte de varias personas.
C4: Muerte de muchas personas.
Porcentaje de ocupacin (F): Probabilidad de que el rea expuesta se encuentre
ocupada. Se determina calculando la fraccin de tiempo en la que el rea se encuentra
ocupada durante el periodo normal de trabajo.
F1: Raro o poco expuesto en la zona de riesgo.
F2. Frecuente o permanente en la zona de riesgo.
Probabilidad de evitar el Peligro (P): Probabilidad de que las personas expuestas
sean capaces de evitar el peligro, s el sistema de proteccin falla. P debe ser seleccionada
solo si se proveen de medios independientes para alertar al personal de que el SIS ha
fallado, se proveen de medios independientes para detener el proceso y permitir al personal
dirigirse hacia una zona segura.
P1: Posible en determinadas circunstancias.
P2: Casi imposible.
Probabilidad de ocurrencia del evento (W): Nmero de veces por ao que el evento
peligroso pudiera ocurrir, sin el SIS.
W1: Poco probable.
W2: Probable.
W3: Muy probable.
Los valores de C, F, P y W son unos valores corporativos y sin asignacin de valores,
no obstante la norma IEC 61511 Parte 3 toma unas referencias y da valores a los
parmetros C, F, P y W con lo que el grfico de riesgo pasa a denominarse Grfico de
Riesgo Calibrado y pasando a ser un mtodo semicuantitativo. La siguiente tabla recogida
por la norma IEC 61511 resume las referencias acordadas y que unifican el criterio a la
hora de cuantificar los parmetros.
95
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
96
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Matriz de riesgo 1
La matriz de riesgos es uno de los mtodos ms utilizados en la asignacin del SIL
en industrias de proceso qumicas y petroqumicas. La aplicacin de esta metodologa
consiste en la valoracin de la probabilidad de ocurrencia de un accidente y la severidad de
sus consecuencias. Esta metodologa est recogida en multitud de estndares,
recomendaciones prcticas y procedimientos internos de compaas. Tanto la normativa
ANSI/ISA S84 como la IEC 61511 parte 3 recogen esta metodologa y plantean matrices
de riesgo. La matriz de riesgo utilizada en procesos industriales a menudo incorpora un
tercer eje donde se tiene en cuenta la efectividad de los sistemas de proteccin (ANSI/ISA
S84) o el nmero de capas de proteccin incluyendo el SIS (IEC 61511).
La tabla 7.3.1.1 muestra tres categoras tpicas de valorar cualitativamente la
severidad del evento peligroso. Es comn encontrar matrices con ms de tres categoras.
Severidad Impacto
Inicialmente limitado al rea local del evento, con potencial de una consecuencia
Menor mayor si no se toman acciones correctivas. Daos menores en equipos, no paro del
proceso. Perjuicios a personas y medio ambiente temporales.
Daos a equipos. Paro corto del proceso. Perjuicios serios al personal y medio
Seria
ambiente. Puede causar heridas de consideracin o daos materiales
Provoca una parada larga del proceso, grandes daos en equipos y consecuencias
Extenso catastrficas al medio ambiente y a las personas. Tiene una severidad 5 veces o ms
que la severidad seria
Probabilidad de ocurrencia
Tipos de eventos
Frecuencia/ao Clasificacin
Eventos como fallos mltiples de diversos instrumentos o vlvulas,
mltiples errores humanos en un ambiente libre de estrs, o fallo f < 10-4 Baja
espontneo de recipientes de proceso.
Eventos como fallos mltiples de instrumentos o vlvulas dobles, o
emisiones masivas de productos peligrosos en reas de 10-4 < f < 10-2 Moderada
carga/descarga
Eventos como fugas, fallos de instrumentos o vlvulas
individualmente, errores humanos que resulten en pequeas f > 10-2 Alta
emisiones de productos peligrosos.
Los valores de las tablas 7.3.1.1 y 7.3.1.2 son proporcionados como gua y estn
basados en la informacin recogida en el libro Guidelines for Safe Automation of
Chemical Processes 1 y recogido en la norma IEC 61511 parte 3 anexo C.
La figura 7.3.1.2 Matriz de riesgo segn IEC 61511, muestra una matriz que evala
el riesgo mediante la combinacin de probabilidad de que suceda el evento peligroso y la
severidad de la consecuencia del evento junto con un tercer eje donde se tiene en cuenta la
efectividad de los sistemas de proteccin (capas de proteccin), incluido el SIS. En otras
palabras, la matriz se basa en los criterios de la experiencia operacional y el riesgo de la
compaa, la filosofa de diseo, operacin y proteccin de la compaa, y el nivel de
seguridad que la compaa ha establecido como su nivel objetivo de seguridad. Se ha de
tener en cuenta que el sistema bsico del control de proceso (BPCS), el sistema de alarmas
y los operadores de planta est incluido en la capa de proteccin y no deben tenerse en
cuenta para el tercer eje.
1 Guidelines for Safe Automation of Chemical Processes Guas para la Automatizacin Segura de los
Procesos Qumicos. New York: American Institute of Chemical Engineers (AlChE), 1993.
98
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
99
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El paso siguiente al anlisis de riesgos es seleccionar un ndice SIL meta para cada
funcin instrumentada de seguridad (SIF). Por tanto es en esta fase donde el equipo de
diseo propondr un SIL para cada SIF identificada para ser implementada en el SIS.
Como herramienta para determinar la clase de riesgo y el ndice meta SIL en el sector
qumico se utiliza mayoritariamente la matriz de riesgo. Aunque menos utilizado, el
mtodo grfico de riesgos tambin suele utilizarse. Durante esta fase se finalizan los
P&IDs para representar las funciones del sistema bsico del control de proceso (BPCS) y
se introducen los cambios en los P&IDs por aplicacin del SIS.
El nivel SIL define el nivel de actuacin necesario para alcanzar el objetivo de
seguridad del proceso. El nivel SIL define un rango de probabilidad de fallo en demanda
medio (PFDavg) que la funcin instrumentada de seguridad debe alcanzar. Como mayor
sea el SIL, mayor ser la disponibilidad requerida a la funcin de seguridad SIF. La
siguiente tabla identifica los PFDavg de cada nivel SIL. El valor inverso del PFD es el
Factor de Reduccin de Riesgo (RRF).
Dnde:
RRF = 1 / PFDavg (5)
Disponibilidad de Seguridad = (1 RRF) x 100 (6)
La prestacin de una funcin de seguridad puede ser mejorada aadiendo
redundancia, disminuyendo el periodo de test de la funcin, usando diagnsticos de
deteccin de fallos, etc.
100
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Una vez realizado el HAZOP y analizadas las protecciones que un proceso de una
planta necesita, se ha de distinguir entre las que estn claramente relacionadas con las
tareas de seguridad y las que son requeridas por la propia operacin de la planta. Por lo
tanto, podemos clasificar las funciones de control de proceso en:
Funciones de Operacin. Se utilizan para la correcta operacin de la planta en
su comportamiento normal. Incluye medida, control e histrico de todas las
variables relevantes del proceso. Las funciones bsicas de control de proceso se
encuentran trabajando en operacin continua o listas para actuar antes de que se
requiera una actuacin del SIS. Estas funciones no son el objetivo del SIS.
Funciones de Monitorizacin. Este tipo de funciones actan durante un
momento especfico de operacin del proceso de una planta cuando una o ms
variables salen fuera del rango normal de operacin. Estas funciones alertan al
personal de operacin con alarmas los fallos permisibles del proceso de la planta,
o inducen a intervenciones manuales o automticas en el proceso. Estas funciones
no son el objeto del SIS, pero han de estar diseadas de acuerdo a unas buenas
prcticas de ingeniera y a requerimientos de autoridades legales o regulatorias.
Una gua vlida para la gestin de alarmas la encontramos en EEMUA 191:
Alarm systems - a guide to design, management and procurement.
Las funciones de operacin y funciones de monitorizacin estn recogidas e
implementadas en lo que llamamos Funciones Bsicas del Control de Proceso y son
ejecutadas en el BPCS. No es recomendable que este tipo de funciones se implementen en
un SIS.
Funciones Instrumentadas de Seguridad. Se usan en el proceso de plantas para
reducir cualquier riesgo que exceda el nivel del riesgo tolerable. Este riesgo
existe s un dao serio a personas o medio ambiente no puede ser evitado por otro
sistema.
El objetivo de esta clasificacin es tener los requerimientos adecuados para cada tipo
de sistema con un coste econmico razonable. El coste econmico de un lazo de seguridad
es alto, comparado con un lazo bsico de control.
Las funciones del SIS tienen una baja tasa de demanda al contrario de las funciones
del BPCS, esto es debido a la baja probabilidad de que un evento peligroso ocurra.
101
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Dnde:
Probabilidad
P0: Ocurre una vez por ao o ms. Ocurrido un par de veces.
P1: Ocurre una vez cada 10 aos. Ocurrido una vez.
P2: Ocurre una vez cada 100 aos. Casi ocurre, el accidente se evit por poco.
P3: Ocurre una vez cada 1000 aos. Nunca pasa pero es plausible.
P4: Ocurre menos de una vez cada 10000 aos. Razonablemente no es un escenario
creble.
Severidad
S1: En el lugar: potencial para una o ms vctimas.
S2: En el lugar: potencial para uno o ms daos o lesiones serias (irreversibles).
S3: En el lugar: potencial para uno o ms daos en prdida de tiempo.
S4: En el lugar: potencial de daos menores.
102
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Clase de
Nivel de Riesgo Medidas de Reduccin de Riesgo
riesgo
Extremo, riesgo totalmente
A Cambio en el proceso o diseo
inaceptable
Cambio en el proceso o diseo, o
B Muy grande, riesgo inaceptable adopcin de un mecanismo de
proteccin SIL 3 (PSV, funcin E&I)
Cambio de proceso o diseo, o
C Grande, riesgo inaceptable adopcin de un mecanismo de
proteccin SIL 2 (PSV, funcin E&I)
Mecanismo de monitorizacin de alta
Medio, riesgo aceptable, que debera calidad con pruebas de funcionalidad
D
ser reducido documentadas o procedimiento
administrativo de alta calidad
Bajo, riesgo aceptable, que puede ser Mecanismo de monitorizacin o
E
reducido procedimiento administrativo
F Muy bajo, riesgo aceptable Ninguna
105
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
de Revisin de Seguridad (Paso 2 Safety Review) segn el ciclo de vida de seguridad (ver
figura 7.1.3 Ciclo de Vida de Seguridad ejemplo y figura 7.3.1.3 Fase asignacin SIF).
Mtodo LOPA
De entre todas las metodologas para calcular el ndice SIL reflejadas en los
estndares y normativas IEC 61511 y ANSI/ISA-84.00.01, el anlisis LOPA es la tcnica
ms exhaustiva por tener un carcter cuantitativo. El mtodo LOPA fue desarrollado por el
American Institute of Chemical Engineers (AIChemE 1993). Esta metodologa esta
recogida tanto por la normativa ANSI/ISA-S84 como por la IEC 61511 parte 3.
Como vimos en el primer captulo de este trabajo y reflejamos en la siguiente figura
7.3.2.1, las capas de proteccin en una instalacin de proceso se dividen en capas de
prevencin, destinadas a prevenir el accidente y capas de mitigacin, destinadas a reducir
las consecuencias del accidente.
Esta tcnica se basa en el anlisis objetivo de las distintas capas de proteccin de que
dispone un proceso, evaluando el riesgo del mismo y comparndolo con el criterio de
riesgo tolerable definido por la propiedad, para decidir si las capas de proteccin son
adecuadas o si es necesario mejorar las existentes o introducir capas adicionales.
106
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El mtodo arranca con los datos obtenidos en al anlisis HAZOP (HAZard and
Operability analysis) y explica, para cada peligro identificado en la documentacin, la
causa inicial y las capas de proteccin que previenen y mitigan el peligro. Esto permite
calcular la cantidad de reduccin de riesgo obtenido y analizar la necesidad de reducir an
ms el riesgo. Si se requiere una mayor reduccin de riesgo y tiene que ser obtenida a
travs de una funcin instrumentada de seguridad (SIF), este mtodo nos permite
determinar el SIL apropiado de la SIF.
El primer paso requiere determinar un nivel de riesgo tolerable. Un escenario tpico
podra ser el que muestra la tabla 7.3.2.1 donde se expresa la probabilidad de que un
accidente provoque una vctima en un ao. Tablas similares pueden confeccionarse para
impacto medioambiental, prdida de produccin, daos a equipos, etc.
Mximo riesgo tolerable Riesgo residual Mximo riesgo tolerable Riesgo residual
para operarios para operarios para pblico para pblico
10-4 10-6 10-4 10-6
Tabla 7.3.2.2 Probabilidad de riesgo tolerable aceptada y basada en la IEC 61511 Parte 3 Anexo C
107
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Un segundo paso implica determinar la probabilidad del evento inicial de los sucesos
no deseados. Pueden ser eventos externos (p. ej. impactos de rayos) o fallo de una de las
capas (p. ej. Fallo del sistema de control de una vlvula). Para valorar estas probabilidades
necesitamos valores numricos. Normalmente son valores basados en registros histricos o
datos de ndice de fallo recogidos en bases de datos y publicadas por organizaciones como
EXIDA 1, OREDA 2, etc. La siguiente tabla 7.3.2.3 muestra un ejemplo de probabilidad de
eventos iniciales.
109
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
La nica capa de seguridad existente es el dique, que tiene un PFD estimado de 0,01.
Las alarmas y por tanto la accin del operador no se estiman ya que la causa inicial es el
sistema de control, por tanto no puede generar alarmas.
La compaa toma un criterio conservativo e indica que si el producto sale fuera del
dique la probabilidad de ignicin es del 100%.
La probabilidad de que haya alguien en el rea afectada mientras ocurre el suceso se
estima en 50%. Y finalmente la probabilidad de que alguien en el rea muera debido al
accidente es del 50%.
La siguiente figura muestra la versin LOPA del rbol de eventos.
110
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
un PFD = 0,04. Esto significa un lazo de seguridad SIL 1 pero con un RRF por encima de
25 (Ver tabla 7.3.1.3 ndice SIL).
111
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografa y referencias:
[1] Curso: Anlisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril
2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y
Victoriano Macas (INERCO).
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published by ISA, 2002.
[4] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5] Artculo: Techniques for Assigning A Target Safety Integrity Level, Angela E. Summers, Published in
ISA Transactions 37 (1998).
[6] Artculo: Methods of determining Safety Integrity Level (SIL). Requeriments Pros and Cons, W G
Gulland, Published by Springer-Verlag London Ltd of the Safety-Critical Systems Symposium.
Febrero 2004.
[7] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[8] Seminario: PAS Process Safety Seminar. Luis Garca (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
112
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Una forma que se propone de documentacin es en forma de check list basada en los
tags de cada funcin.
Los responsables de redactar la documentacin, depende de cada compaa,
normalmente son el responsable del proyecto y el responsable de ingeniera. Esta
documentacin formar parte de los registros de esta segunda etapa revisin de seguridad y
pasarn a formar parte en la siguiente etapa del ciclo de vida de seguridad funcional:
Especificacin de los Requerimientos de Seguridad.
Es muy importante discutir el intervalo de prueba de funcionalidad con relacin a los
planes de operacin de la planta. El intervalo de test puede impactar significativamente en
el diseo final.
En el (ANEXO G: Especificaciones de los requisitos de Seguridad) se puede ver un
ejemplo de check list donde se recogen los resultados de la fase de asignacin del valor
SIL y se complementa con las especificaciones de los requisitos de seguridad para poder
pasar a la fase de ingeniera y diseo del SIS.
IEC 61511 define las SRS como las especificaciones que contienen todos los
requerimientos de las funciones instrumentadas de seguridad en un sistema instrumentado
de seguridad.
El objetivo de esta fase del ciclo de vida (SRS) consiste en especificar y documentar
todos los requerimientos para todas las funciones de seguridad que ha de realizar el SIS
para el desarrollo de su ingeniera de detalle y para la seguridad funcional del proceso.
113
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Se trata de una etapa crtica, cualquier error, falta de datos u omisin en las
especificaciones resultar en una funcin de seguridad que no ser capaz de realizar su
cometido en la forma prevista, con lo que la seguridad se ver afectada. Por tanto, las SRS
deben ser desarrolladas y revisadas por un equipo con experiencia en proceso, equipos,
operacin y mantenimiento del proceso que se trata. La documentacin de las SRS ser
posteriormente utilizada para la verificacin y validacin del SIS.
Las SRS, como hemos indicado es un documento clave para la implementacin y
pruebas del proyecto, as como para la correcta operacin del sistema y su mantenimiento
(figura 7.4.2). Es el enlace entre todo el estudio terico/prctico de anlisis para poder
crear una base firme y estructurada para poder ejecutar el proyecto. Siempre son
elaboradas una vez seleccionado el SIL objetivo. Como hemos visto el 44% de los fallos
del sistema de seguridad instrumentado ante un incidente se debe a una mala
especificacin de los requerimientos de seguridad, que pueden ser debido a:
No realizacin correcta del Anlisis de Riesgos y Peligros del proceso, lo que
implica una base de entrada para las SRS incorrecta (mala identificacin de las
SIF, seleccin incorrecta del SIL).
No se identifican modos de fallo y requerimientos de proteccin (acciones de la
SIF no logra un estado seguro, lentitud en la identificacin y prevencin del
peligro).
No se definen todos los modos de operacin del proceso (arranque, paro, etc.).
No se identifican todas las condiciones ambientales y de proceso.
Control de las SRS inadecuado.
Requerimientos contradictorios o incompletos.
114
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
116
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 La interferencia electromagntica se refiere al fenmeno electromagntico no deseado que afecta las seales
elctricas a una banda menor que la radiofrecuencia. Es una forma de ruido elctrico que surge generalmente
de motores, transformadores, conductores de energa y de prcticas de cableado inapropiadas.
2 La interferencia por radiofrecuencia surge de seales en falso en el rango de radiofrecuencia (generalmente
de 0.5 a 500 MHz), puede generarse de manera local por sistemas de ignicin, dispositivos de comunicacin
de dos vas, equipo de soldadura, dispositivos de control, computadoras, entre otros.
3 Clase de Riesgo determinado usando la matriz de riesgo ejemplo propia de la organizacin (figura
7.3.1.5).
117
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
118
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
documentacin SRS parta el diseo del SIS debera incluir: (ANEXO G: Especificaciones
de los requisitos de Seguridad):
La descripcin del proceso que incluira:
P&Ids, diagramas de tuberas e instrumentacin del proceso.
Descripcin de la operacin del proceso.
Descripcin del control del proceso incluyendo la filosofa del diseo del
sistema de control, tipo de controles, la interface con el operador, gestin de
alarmas, y registros de histricos.
Requerimientos de normativas y leyes que afectan el diseo del SIS.
Acciones que el sistema o componente debe realizar bajo circunstancias
establecidas (especificacin funcional).
Integridad requerida (confiabilidad y disponibilidad) para operar en dichas
circunstancias (especificacin de integridad).
Requerimientos de sobrevivencia una vez que un incidente serio ha sucedido
(especificacin de sobrevivencia).
Adems de toda esta informacin puede incluir para completar el paquete de
documentos:
Diagramas causa-efecto: Tambin conocidos como matrices de causa efecto
(cause and effects Matrix "CEM"). Se han convertido en una herramienta muy
familiar para documentar los requisitos de seguridad de un SIS - es una manera
muy intuitiva de representar la lgica. Estos diagramas se usan para documentar
los requerimientos funcionales y de integridad. Deben ser documentos claros
para todas las disciplinas. (Ver tabla 7.4.4.1 Diagrama Causa Efecto muestra)
Nivel tanque
LIAH10 1 0-100 80 % X
Hexano
Nivel tanque
LIAHH10 1 0-100 90 % X X 2
Hexano
Nota 2 Tiempo requerido de actuacin mximo 3 segundos
119
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
120
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
122
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Funciones de monitorizacin:
Las funciones monitorizadas deben formar parte del DCS, no deben estar incluidas
en el SIS. Una funcin de monitorizacin nunca ser una funcin de seguridad. Las
principales razones para esta separacin son:
Como regla general, el DCS y el SIS estn separados para minimizar errores
potenciales en las funciones de seguridad del SIS debido a errores de operacin,
mantenimiento o diseo.
Las funciones de seguridad no deben arriesgar su funcin por otras. Por ejemplo
un cambio en una funcin de monitorizacin no debe producir un cambio en la
funcin de seguridad.
Por ltimo un PLC de seguridad debe procesar y ser lo ms simple posible, la
complejidad de un SIS aade costes de inversin, requerimientos de test y
mantenimiento y efectos no deseados que pueden provocar errores potenciales
alrededor del SIS.
Bypasses:
Bypasear partes o componentes de una funcin instrumentada de seguridad puede
poner en riesgo la seguridad, por lo que la decisin de bypasear tiene que ser estudiada con
sumo cuidado durante la revisin de seguridad y puede que sea necesaria la aplicacin de
medidas adicionales.
No est permitido bypasear una funcin de seguridad en su totalidad.
Si es necesario realizar bypases para mantenimiento u operacin se debe considerar:
Bypasear una canal de una arquitectura 1ooN para mantenimiento puede ser
aceptable si la seguridad no se ve afectada de forma negativa (p. ej. reparacin de
algn elemento tan rpido como se pueda, y dentro de un tiempo especificado de
reparacin.
Bypasear en un canal 2oo3 es posible si este se lleva a un estado de Bad value
y el resultado es de un 1oo2.
Si por motivos que salen de la operacin normal de la planta (p. ej. arranque) es
necesario bypasear momentneamente una funcin de seguridad. La seguridad
debe ser asegurada por otros medios.
Para bypases de operacin se debe considerar:
Que estos estarn limitados a un tiempo estipulado (p. ej. un turno).
Que estarn claramente visualizados por el SIS.
Que el acceso al switch de bypass est protegido (p. ej. password).
Si los test de lazo y bypases estn incluidos en el diseo del SIS, y se notifica al
operador el requerimiento de bypass, este slo puede estar activo durante un corto
periodo de tiempo. Esta previsin ser documentada durante el proceso de
revisin de las especificaciones de requerimientos de seguridad
Los bypases que no estn descritos en el diseo del SIS, slo pueden ser
realizados si existe un procedimiento de mantenimiento o una orden de cambio
escrita por el MOC (Management Of Change).
123
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografa y referencias:
[1] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[2] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[4] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[5] Artculo: Implementing a suitable safety instrumented system, Autor: R. Modi, publicado en junio
2010 en la revista Hydrocarbon Processing.
[6] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
diseo conceptual cumple con el SIL objetivo de las SRS. Se trata del tercer paso de
revisin de seguridad propuesta por el ciclo de vida de seguridad del SIS y previa a
desarrollar el diseo de detalle.
En el diseo y anlisis de un sistema de seguridad hay que tratar diferentes factores
como la tecnologa a seleccionar, arquitectura de la funcin de seguridad, modos y ratios
de fallo, diagnsticos, servicios de energa, interfaces, seguridad, intervalos de test, etc.
que harn cumplir con el SIL objetivo de las SRS.
Un sistema instrumentado de seguridad se compone principalmente de 3
subsistemas: sensores, elementos finales de control y procesador lgico aparte de sistemas
de soporte como aire de instrumentacin o electricidad. El balance final de los fallos entre
los principales subsistemas de un sistema de seguridad queda reflejado en la siguiente
figura (Fuente: Offshore Reliability Database (OREDA))
125
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
nuevo riesgo. Este nuevo riesgo depende del ratio de fallo del componente comn, ya que
si el componente comn falla a demanda, la funcin del SIS no ser capaz de responder a
la situacin peligrosa. Por esta razn es preciso un estudio que asegure que el ratio de fallo
peligroso del componente comn es suficientemente bajo.
Dentro de los componentes utilizados en un SIS podemos diferenciar dos tipos de
separacin para la redundancia. La separacin idntica, debe constar de dos o ms
componentes idnticos e independientes entre s. La separacin diversa debe constar de dos
o ms componentes diferentes (diferente tecnologa, configuracin, etc.) e independiente
entre s, este tipo de separacin reduce la probabilidad de fallos sistemticos y los fallos de
causa comn.
Podemos decir que existen 3 partes de un sistema donde es plausible la separacin
entre el BPCS y el SIS y que deben ser evaluadas para asegurar el cumplimiento con el SIL
meta de cada funcin de seguridad, estas son:
Sensores y elementos finales de control
Revolvedor lgico
Comunicaciones entre el SIS y el BPCS y otros elementos
En resumen, se adopta que los sistemas de seguridad deben ser completamente
independientes del sistema de control. Si se precisa compartir entre ambos sistemas algn
elemento, la funcin instrumentada de seguridad ha de ser evaluada y siempre tendr
preferencia sobre el sistema de control.
Otra forma de expresar el tag del lazo con la letra Z (FICZSHHA, lazo de
control de caudal con paro por enclavamiento por caudal alto alto y alarma).
Como podemos observar la forma de denominar a los elementos de seguridad de
un SIS depende de cada compaa y de la normativa en la que se apoyen (DIN,
ISA, etc.).
En la planta: los elementos fsicos han de estar debidamente etiquetados en
campo (ver figura 7.5.3). Por ejemplo mediante un tringulo con la letra A
insertada en su interior que indica que pertenece a un lazo de seguridad Clase A y
de acuerdo a lo indicado en los diagramas P&I y a la lista de tags. Los cables
tambin se etiquetarn con el mismo tag que en el diagrama P&I.
En general los sensores son usados para medir temperatura, presin, nivel, flujo,
concentracin, etc. Estos pueden ser discretos, cambian de estado cuando se alcanza un set
point o analgicos, dan una salida variable en relacin a la variable de proceso.
En sistemas de seguridad existen dos categoras de fallo principales que afectan a un
sensor. Puede ser un fallo seguro (fail safe) cuya causa nos llevar a un paro no esperado
de la planta, ejemplo de un cambio de estado del sensor sin que suceda un cambio en la
variable de proceso. O puede ser un fallo peligroso, por ejemplo que falle la respuesta a
una demanda actual o cambio de la variable de proceso sin indicacin por parte del sensor.
Est claro que un sensor puede fallar por diferentes razones: corrosin en los contactos,
suciedad en el contacto, termopares quemados, salidas errticas, transmisores inteligentes
(smart transmitter) en modo salida forzada, bloqueo de las lneas de proceso del
transmisor, etc.
El modo normal y recomendado por la mayor parte de compaas es disear el
sistema instrumentado de seguridad para que funcione en modo fail-safe, para asegurar que
los fallos sean siempre seguros. Esto quiere decir que cualquier anomala en la funcin de
seguridad que no responda a una situacin peligrosa en el proceso provocar llevar el
propio proceso a un estado seguro, puede implicar el paro de planta, es decir provocar
paros no deseados, molestos (spurious trip). Para minimizar estos paros no deseados
existen diferentes medidas a adoptar:
Uso de tecnologa fiable, seleccin de equipos uso probado 1 o basados en una
certificacin IEC 61508.
Uso de estructuras multicanal (p.ej. votaciones 2oo3).
Realizando instalaciones apropiadas de los equipos (p.ej. uso de tubing de acero
inoxidable en lugar de plstico).
Requerimientos bsicos para un sistema en operando en modo fail-safe:
Los sensores de contacto sern cerrados y energizados en condiciones normales
de operacin del proceso.
Las seales de los transmisores analgicos irn al punto de disparo bajo cualquier
fallo, a no ser que sea detectado por el sistema para que se tome una accin
correctiva.
Los contactos de salida del sistema lgico en operacin normal del proceso
estarn energizadas y cerrados.
Los elementos finales a fallo de aire irn a la posicin de seguridad (p.ej.
vlvulas).
Otros elementos finales como motores o turbinas se pararn.
El modo de fallo de los transmisores debe ser descrito en el documento SRS
(especificaciones de los requerimientos de seguridad), ya que para un estado seguro del
proceso, un transmisor en caso de fallo puede requerir ir a su estado bajo (Low) o alto
(High), dependiendo de su punto de disparo de seguridad.
1 Equipos uso probado (proven in use) son equipos aceptados por la IEC 61511 para el diseo de
sistemas de seguridad y basados en los aos de experiencia de las empresas en el uso de un equipo sin fallos
peligrosos y adecuadamente documentado, an cuando no cuente con certificacin de seguridad.
128
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Hay que tener gran cuidado a la hora de elegir los sensores, ya que la precisin de
sus medidas depende del rango en que trabajen. As un sensor diseado para medir
presiones de hasta 15 bares, no es capaz de medir intervalos de 5 milibares.
Se ha de evitar compartir sensores entre el BPCS y el SIS. Cuando utilizamos
sensores redundantes y compartimos elementos de campo entre el BPCS y el SIS, un fallo
en el BPCS no debe inhibir el correcto funcionamiento del SIS, por lo que un aislador de
seal debe ser instalado entre el BPCS y el SIS.
Siempre que sea posible se utilizarn sensores y transmisores 2 analgicos ya que
estos presentan las siguientes ventajas ante los sensores de contacto:
Tenemos indicacin de la variable de proceso, por lo que nos dar una idea de si
su funcionamiento es correcto. Con un switch se debe hacer un test para saber si
es correcto su posicin.
Fcil de realizar un test parcial de la medida online el setpoint de disparo del
controlador puede ser modificado-.
Posibilidad de realizar diagnsticos.
Menor tasa de fallos peligrosos y seguros.
Podemos comparar la seal con la del BPCS.
Mejor precisin, rangeabilidad y fiabilidad que un switch.
Un nico transmisor puede sustituir algunos switches.
El controlador puede ser bloqueado por seguridad.
Es muy interesante el uso del protocolo HART (Highway Addressable Remote
Transducer) junto con transmisores inteligentes ya que son capaces de darnos a travs de la
seal 4-20 mA una serie de datos con los que podemos realizar diagnsticos y detectar
alguno de los siguientes fallos de seal:
Funcionamiento no correcto del transmisor.
Seal de entrada del sensor fuera de rango.
Seal de salida del transmisor congelada.
Salida analgica fuera de rango.
Solamente utilizando estos cuatro diagnsticos podemos incrementar
aproximadamente en un 20% la cobertura de diagnstico (DC) del transmisor. La
realizacin de un anlisis de modos de fallo, efectos y diagnsticos (FMEDA) nos dar el
nivel de cobertura de diagnstico del transmisor. Muchos fabricantes proveen evaluaciones
realizadas por terceros (EXIDA es un ejemplo) donde se incluye el FMEDA de diferentes
equipos utilizados en SIS.
2 El transmisor lo podemos considerar como parte del sensor y es el que nos da la seal analgica en
relacin a la variable fsica que pretendemos medir.
129
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
3 El ajuste de los parmetros de proceso ha de estar protegido y bajo control para evitar cambios no
autorizados.
130
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
sd + su + dd
SFF = (4)
sd + su + dd + du
actan durante largos periodos de tiempo. Un fallo tpico peligroso que pueden tener es el
atasco o bloqueo que en situacin de demanda har que la vlvula no acte. Un fallo tpico
seguro es la prdida o fallo de la bobina de la electrovlvula, cosa que al estar energizada
en condiciones normales de operacin nos llevara a un paro no deseado de la planta, pero
no a un estado peligroso (la vlvula se ir a su estado de seguridad prefijado).
Todas las vlvulas a prdida de alimentacin de aire deben ir a su posicin de
seguridad (fail safe), el actuador de estas vlvulas ser de simple efecto con retorno por
muelle. Vlvulas de doble efecto (aire para abrir y aire para cerrar) solo se utilizaran
cuando, por seguridad, se requiera mantener la ltima posicin en caso de fallo de aire.
Modos tpicos de fallo en las vlvulas son:
Vlvulas solenoides (electrovlvulas):
Bobina fuera de servicio, agotamiento de la bobina.
Taponamiento de las vas y purgas de la vlvula solenoide.
Corrosin de los terminales.
Ambiente hostil y/o calidad baja del aire de instrumentacin que provoca un
agarrotamiento de la vlvula solenoide.
Vlvulas de corte:
Fuga en la vlvula.
Incorrecta seleccin del tamao del actuador que resulta incapaz de mover la
vlvula a su posicin segura a falta de aire.
Atasco del vstago o asiento de la vlvula.
Atasco de la vlvula.
Taponamiento o rotura de la lnea de aire de alimentacin al actuador.
Las vlvulas de control del BPCS dan la sensacin de que continuamente se estn
probando en el proceso normal de operacin al estar en continuo movimiento y por tanto-
por qu no utilizarlas como vlvulas de corte? No es una prctica recomendable. Como
vimos en el captulo 7.5.1 se recomienda independizar los equipos del sistema de
seguridad y del sistema de control. Adems sabemos que los elementos finales de un lazo
de seguridad son los equipos que proporcionan ms fallos en un sistema y las vlvulas de
control no suelen estar diseadas para la seguridad (no contemplan parmetros como
rapidez de respuesta, resistencia al fuego, clase de fugas cero, etc.).
A pesar de todo pueden ser utilizadas en seguridad en casos en que no sea prctico
instalar una vlvula adicional de corte, o el coste de su instalacin no compensa la
seguridad que se pueda alcanzar. Para estos casos se estudiar la conveniencia o no de la
instalacin y se incluirn recomendaciones como instalacin directa de la vlvula
solenoide al actuador bypaseando el posicionador, uso de redundancia para las vlvulas
solenoides. Las vlvulas solenoides han de garantizar una respuesta rpida del actuador.
En todo caso el uso de una vlvula compartida por ambos sistema debe asegurar que
los riesgos asociados son aceptables y debe estar debidamente documentado.
El siguiente apartado se describe una serie de acciones que ayudan a detectar fallos
en vlvulas.
132
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 Para un Sistema de Seguridad la operacin normal del proceso corresponde a un estado estacionario
133
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
134
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1Existen numerosas bases de datos (p. ej EXIDA) as como software especializado en clculo de PFD,
factores SIL, etc. (p. ej. EXSILENTIA de EXIDA) que tienen tabulados los valores de DC dependiendo de
los intervalos de test que se practiquen.
135
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
F (t ) = 1 e t F (t ) t (6)
Aproximacin vlida para probabilidades menores de 0,2 que es donde nos
moveremos
PF (t ) * t (7)
PFavg * TI / 2 (8)
Por tanto con aproximaciones, cada vez que hacemos un test total de la vlvula esta
vuelve a su valor inicial de probabilidad de fallo, con lo que la probabilidad de fallo media
se mantiene en un valor que depende del intervalo de tiempo entre pruebas.
Con el PST la probabilidad de fallo de la vlvula no vuelve al punto original (0) sino
que queda un residuo de probabilidad de fallo, ya que no es posible diagnosticar todos los
fallos posibles. El punto inicial de probabilidad de fallo se desplaza segn el factor de
cobertura de diagnstico (DC) que obtengamos fruto del periodo de test y de las
condiciones de la vlvula (son datos que obtenemos de bases de datos como EXIDA y
algn fabricante). La siguiente grfica sintetiza la ecuacin (3) de este apartado.
136
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
137
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Indicar que todos estos clculos de verificacin para ver si una funcin
instrumentada de seguridad alcanza el SIL objetivo especificado se realizan mediante
software especializados en tema de seguridad funcional y que contienen bases de datos de
diferentes organizaciones, fabricantes y normas donde se incluyen todos los datos
referentes a confiabilidad y operabilidad de todos los componentes susceptibles de ser
utilizados por un Sistema Instrumentado de Seguridad y que automticamente generan
todos los documentos que requiere la norma. Un buen ejemplo de este software y
probablemente el ms utilizado sea EXSILENTIA 1 SILect + SRS + SILver, perteneciente
a EXIDA.
La siguiente tabla muestra los modos tpicos de fallo de los elementos finales y la
deteccin del fallo con diferentes estrategias de pruebas.
Detectable.
Actuador/vlvula Vlvula falla a
Movimiento Detectable.
atascada cerrar (o abrir)
limitado
Asiento vlvula Vlvula presenta Detectable. Precisa prueba
No detectable.
daado fugas con medicin de fugas
Asiento vlvula Vlvula presenta Detectable. Precisa prueba
No detectable.
sucio o endurecido fugas con medicin de fugas
Tamao actuador
inapropiado para
Vlvula no cierra (o
operar en No detectable Detectable
abre)
condiciones de
emergencia
Bibliografa y referencias:
[1] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Seminario: Descripcin general de la Seguridad. EMERSON Process Management, Tarragona, Junio
2006.
[4] Fiabilidad y Seguridad: Su aplicacin en procesos industriales. Antoni Creus i Sol. 2 edicin.
MARCOMBO, 2005.
[5] Seminario: PAS Process Safety Seminar. Luis Garca (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[6] The effects of Partial Stroke Testing on SIL level, EXIDA. www.exida.com
139
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
paro seguro de la planta. Precisa de gas seco y limpio. Un mal secado o filtrado del gas
puede ocasionar fallos en el sistema peligrosos como bloqueos de vlvulas, obstrucciones
de lnea, corrosin, etc. que hacen que el sistema no pueda funcionar cuando sea requerido.
Para evitar estos problemas se requieren frecuentes pruebas de funcionamiento (de forma
estndar mensualmente).
Los sistema con rels (aparecen en los aos 60) se basan en lgica cableada cuyos
principales elementos son rels. Se utilizan en sistema muy pequeos (menos de 15 I/O).
Son seguros y pueden alcanzar requerimientos SIL 3 si se realiza un diseo correcto.
Tienen un coste bajo, son inmunes a la mayora de la interferencias EMI/RFI, pueden
trabajar a diferentes rangos de tensin y poseen un tiempo de respuesta rpido (ms rpido
que un PLC). Se trata de un sistema fail-safe, esto significa que el modo de fallo es
conocido y predecible si trabajamos con rels de seguridad.
Como principales inconvenientes encontramos:
Paros molestos (spourious trips). Los sistemas con rels no suelen ser
redundantes, por lo que un fallo en un rel puede resultar un paro del proceso.
Complejo para sistemas grandes. Como mayor sea el sistema menos manejable
ser, la lgica rel se complica hasta el punto de llegar a perder la trazabilidad en un
seguimiento del circuito. Un sistema de 15 I/O es trazable. Un sistema de 500 I/O es
prcticamente imposible de seguir.
Cambio de lgica manual. Cualquier cambio de la lgica requiere un cableado y
un cambio de documentacin manual. El tener la documentacin actualizada requiere
un gran esfuerzo y un estricto seguimiento de los procedimientos. Imaginemos
cientos de rels conectados entre ellos en un panel, es difcil de seguir, difcil de
documentar y difcil de manipular. Estos problemas, junto con otros, fueron los que
llevaron al desarrollo de los PLC.
No existe interfaz de comunicacin. No existe la posibilidad de comunicacin con
otros sistemas.
No incorporan ningn estndar para realizar test y bypases. Estos se pueden
realizar incrementando considerablemente la complejidad y el coste de los paneles.
Solo admite seales digitales. No est pensado para la utilizacin de seales
analgicas de forma segura (fail-safe)
Sistemas de estado slido (surgen en los aos 70). Son lgicas cableadas sin software
y estn basadas en rels de estado slido. Los sistemas de estado slido (tecnologa
CMOS) fueron diseados para sustituir a los rels. Aunque an hoy en da son utilizados
para pequeas aplicaciones empiezan a estar en desuso. El principal defecto de los sistemas
de estado slido es que la probabilidad de modo de fallo es de 50/50 (50% fail safe y 50%
fallo peligroso).
Principales ventajas:
Capacidad de test y bypass. Los sistemas de estado slido dedicados a seguridad
incluyen estndar de test y posibilidad de bypasear (con llaves).
Comunicacin serie. Algunos sistemas tienen la posibilidad de realizar
comunicacin con sistemas externos, normalmente usado para alarmas y para
visualizar el estado del sistema.
Sistemas rpidos. Pueden llegar a ser ms rpidos que un PLC.
140
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
141
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
143
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.5.6.2 Documentacin
En general:
Especificacin de los requisitos de seguridad (SRS) basados en el anlisis de
riesgos y peligros.
Hardware:
Diagramas de lazo y cableado.
Descripcin de la interface y diagramas.
Puntos de ajuste de parmetros del sistema.
Documentacin certificada de aprobacin del SPLC y sus componentes
Programa de aplicacin:
Descripcin del programa de aplicacin.
Descripcin de las funciones de librera.
145
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Lgica programada.
Lista de variables, constantes,
Identificacin de las funciones de no-seguridad.
Copia del programa de aplicacin, escrita y guardada electrnicamente.
Pruebas:
Pruebas realizadas y resultados.
Persona/s que realizan la prueba y persona que lo aprueba.
Fecha de la prueba.
146
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Cuando se deba hacer una actualizacin del firmware para actualizar versiones del
sistema, esta se har con la planta parada y por personal especialista en el sistema, a ser
posible personal de mantenimiento e ingeniera del fabricante.
Es una buena prctica el realizar un contrato de mantenimiento con el fabricante del
equipo de tal forma que el cliente, en este caso la empresa propietaria del SPLC se asegure
principalmente:
De que cualquier intervencin es su equipo de seguridad lo har personal
cualificado y certificado.
Estar informado de posibles eventos e incidentes que puedan suceder en equipos
similares en otras plantas y que pudiesen reproducirse en su sistema.
Estar informado del estado del SPLC frente a su ciclo de vida.
Guardar la ltima versin del programa instalado.
Bibliografa y referencias:
[1] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[3] Catlogo DELTA V SIS for Process Safety Systems. Published by EMERSON.
PFD: Probabilidad de que el sistema falle en forma peligrosa. Ante una demanda del
sistema este no actuara. Provoca una situacin peligrosa.
PFS: Probabilidad de que el sistema falle de forma segura. Provoca paros molestos.
Disponibilidad: Probabilidad de que el sistema realice con xito la funcin para la
que fue diseado en el instante de tiempo requerido
Ligado a la evolucin de los sistemas de seguridad, en un principio lo que se
pretenda lograr era disminuir las probabilidades de fallo en demanda (PFD) 1, mantener el
sistema seguro y alcanzar el SIL meta especificado para cada funcin de seguridad. Con
este fin se empez a aplicar el concepto de redundancia.
Por otro lado tambin era necesario evitar los paros innecesarios (paros molestos o
spourious trips) no producidos por una desviacin real del proceso sino por algn fallo en
modo seguro de algn componente y que llevan al paro de la planta con todos los
inconvenientes que se pueden derivar, prdidas econmicas, condiciones de paro
inestables, etc. En este caso tambin se recurre a la redundancia para aumentar
disponibilidad. Un caso tpico es utilizar fuentes redundantes de alimentacin para
aumentar disponibilidad. Son redundancias que estn a la espera.
En el siguiente anlisis utilizaremos siempre las ecuaciones simplificadas, sin tener
en cuenta los efectos de los fallos de causa comn, fallos sistemticos y en sistemas con
diagnsticos o sistemas con HFT > 1 la parte que debe ser aadida al PFD debida al tiempo
de reparacin del elemento en fallo (MTTR). Asimismo consideraremos sistemas fail safe
que en seguridad considera desenergizar para situacin segura.
1 PFD (Probabilidad de fallo en demanda): El sistema no acta cuando se produce una demanda, existe
una situacin peligrosa en el proceso. PFS (Probabilidad de fallo seguro): El sistema de seguridad acta sin
razn alguna.
150
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
NOTA: Ver el captulo 7.5.4.3 para ver cmo se llega a la ecuacin simplificada de
Probabilidad de Fallo:
PF (t ) * t
1 Segn IEC 61511 por subsistema se entiende cualquier elemento del sistema que puede ser otro
sistema, bien de control o controlado, y puede incluir hardware, software e interaccin humana. Un sistema
incluye los sensores, los SPLCs, los elementos finales, las comunicaciones y equipos auxiliares
pertenecientes al SIS (cables, tubing, fuentes de alimentacin, etc.)
151
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
demanda de forma peligrosa es necesario que fallen los dos canales. El sistema slo
necesita un canal para realizar la funcin de seguridad.
Si un canal falla el sistema se degrada a un sistema 1oo1, por lo tanto tiene un
HFT=1.
De la aplicacin de rbol de fallos llegamos a las siguientes ecuaciones:
Como D y S son < 0, vemos que este sistema es mucho ms seguro que un 1oo1,
llegando a valores de SIL 3, pero duplica la probabilidad de fallo seguro, disponibilidad
operacional baja, sistema molesto.
Arquitectura 2oo2
Este sistema no es muy utilizado debido a que es un sistema poco seguro, aunque sea
un sistema altamente disponible.
152
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Como vemos no es un sistema seguro, ambos canales han de activarse para realizar
la funcin de seguridad. Si un canal falla no se producir la funcin de seguridad, se trata
de una arquitectura con SIL 0. La disponibilidad operacional del sistema es alta.
De la misma manera que un sistema 1oo1 el fallo de uno de los canales implica la
perdida de la funcin de seguridad, por tanto HFT=0.
Arquitectura 2oo3
Con este sistema se busca aumentar la seguridad y a la vez aumentar la
disponibilidad operacional de la planta, evitando el efecto de los paros seguros.
Con este sistema se requieren que al menos dos elementos coincidan para realizar la
funcin de seguridad. Incrementa la disponibilidad operacional de la planta.
La funcin de seguridad de la planta sigue realizndose aun cuando si uno de los
canales falla. Incrementa la disponibilidad de seguridad.
Anlisis del rbol de fallos del sistema:
PFD = 3 * ( D * Ti ) (7)
2
153
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFS = 3 * ( S * Ti ) (8)
2
La gran ventaja de este sistema es que tiene una tasa de fallo seguro (disparos en
falso) mucho menor que un 1oo2, por lo que incrementa la disponibilidad de operacin,
aunque la probabilidad de fallo en demanda sea 3 veces mayor que un 1oo2, pero llega a
obtener valores SIL 3.
Asimismo puede tolerar el fallo de uno de sus canales (HFT=1), degradndose en un
sistema 2oo2 (SIL 0), que como hemos visto es el sistema ms peligroso y por tanto un
2oo3 degradado debe repararse rpidamente.
Este sistema fue el ms utilizado a finales de la dcada de los 70 y principios de los
80, hasta la aparicin de los sistemas con diagnsticos en la dcada de los 90.
Lo que realmente se busca es un sistema con mejor disponibilidad que un 2oo3, y un
mejor nivel de seguridad que un 1oo2 y con la capacidad de tolerar fallos sin comprometer
la seguridad. Con la capacidad de diagnstico lo que conseguimos es detectar fallos
peligrosos que pasan a convertirse en fallos seguros, por lo que solo deberemos
preocuparnos por los fallos peligrosos que el diagnstico no puede detectar y que sern la
base para calcular la seguridad del sistema.
Como se puede apreciar en las funciones instrumentadas de seguridad, los sensores,
los resolvedores lgicos (PLCs de seguridad en general) y los elementos finales debern
tener una tolerancia a fallo mnima para cumplir con los requisitos de seguridad. Asimismo
hemos visto que la tolerancia a fallos representa un mnimo de redundancia requerida para
satisfacer el nivel SIL meta de una funcin instrumentada de seguridad.
Con la aparicin de los diagnsticos surge una nueva variable que nos indicar la
efectividad del diagnstico segn la norma IEC 61511 parte 1. Se trata de la Fraccin de
Fallos Seguros (SFF) y se define como la razn entre la tasa promedio de fallos seguros
ms la tasa de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del
sistema.
Dnde:
SD + SU + DD
SFF = (9)
SD + SU + DD + DU
Como vemos las tasas de fallos pasan a ser 4:
DU: tasa de fallo peligroso no detectable.
DD: tasa de fallo peligroso detectable.
SU: tasa de fallo seguro no detectable.
SD: tasa de fallo seguro detectable.
%SAFE: ratio de fallos que son fail-safe.
D: tasa de fallo peligroso. D = TOTAL (1 % SAFE ) (10)
SU = S (1 C S ) (13)
DD = D C D (14)
DU = D (1 C D ) (15)
Ejemplo. Si tenemos un transmisor con una tasa de fallo de 500E-9 fallos por hora,
con un 62 % de fallos fail-safe, con factor de cobertura para fallos seguros del 74% y para
fallos peligrosos del 96%. Qu tasa de fallos tendr el transmisor? SFF del transmisor?
Qu SIL puede lograr dependiendo de la tolerancia a fallo hardware dispuesto?
TOTAL = 500 E 9
%SAFE = 0.62 (62%)
CS= 74%
CD= 96%
S = TOTAL % SAFE = 500 E 9 0.62 = 310 E 9 = 310 FIT 1
1 FIT: unidad fallos en tiempo. Indica el mximo de fallos en componentes por cada 109 horas de
funcionamiento.
155
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
(Ver apartado 7.5.8.1 HFT segn norma IEC 61511 y IEC 61508 de este captulo)
Indicar que todos los datos de tasas de fallos, ratios de cobertura de diagnsticos,
SFF, etc. son datos bsicos que han de proveer los fabricantes bien por Anlisis de Modos
de Fallos, Efectos y Diagnsticos (FMEDA) o por equipos de uso previo, para poder ser
utilizados en seguridad y son parmetros requeridos para la verificacin SIL. Se
recomienda utilizar equipos certificados por un organismo independiente (TUV, FM) que
justifique que cumple los criterios de la norma IEC 61508.
Arquitectura 1oo1D
Se trata de un sistema de un nico canal que incluye el autotest y un paro secundario
controlado por los diagnsticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
Analizando el sistema:
= DD + DU + SD + SU (16)
Los fallos seguros no afectan a la seguridad de la planta aunque sean molestos e
impliquen un paro de proceso y con los diagnsticos somos capaces de detectar los fallos
156
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
SU = S * (1 C S ) (18)
Como ms se acerque el factor de cobertura a 1 para fallos en demanda, ms bajo
ser el valor de PFD. El sistema fallar cuando ocurra un fallo en demanda no detectado.
PFD = DU * Ti (19)
PFS = SU * Ti (20)
Con un sistema 1oo1D normalmente podemos alcanzar valores de SIL 2
dependiendo del factor de cobertura de que dispongan, aunque cada vez ms con los
equipos SMART (inteligentes) con una alta disposicin de diagnsticos podemos lograr
alcanzar SIL superiores.
Para obtener valores de SIL 3 debemos ir a arquitecturas 1oo2D.
Arquitectura 1oo2D
Se trata de un sistema de dos canales que incluyen el autotest y un paro secundario
controlado por los diagnsticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
La funcin es idntica al 1oo1D pero incrementando la disponibilidad de seguridad y
de operacin.
Para que se produzca una fallo peligroso los dos canales deben fallar en forma
peligrosa, es decir los diagnsticos de ambos no deben haber detectado fallos peligrosas,
por tanto son fallos no detectados (DU) peligrosos. Notar que siempre hay un canal
157
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
calculando y otro verificando, por lo que cualquier variacin entre ambos canales ser
detectada por los diagnsticos que abrirn el circuito y avisarn del evento. Es decir el
valor de PFD 1oo2D es el producto del elemento que calcula y el que verifica.
PFD = (DU * Ti )
2
(21)
PFD = ( D * (1 C D ) * Ti )
2
(22)
De forma similar:
PFS = 2 * ( SU * Ti ) (23)
PFS = 2 * S * (1 C S ) * Ti (24)
Con esta arquitectura se alcanzan niveles de integridad SIL 3. Esta arquitectura al
degradarse por falla peligrosa se convierte en un 1oo1D, se degrada a un nivel SIL 2.
Como vemos con la aparicin de los diagnsticos se logran sistemas mucho ms
seguros teniendo un fuerte impacto en la PFD y la disponibilidad del sistema. Los
diagnsticos slo tienen sentido si van acompaados de un buen sistema de alarmas y de
una reparacin rpida del componente en fallo. El diagnstico condujo a nuevas
arquitecturas que permiten la reconfiguracin del sistema una vez el diagnstico ha
detectado un fallo, ello lleva a configuraciones muy efectivas al proveer de valores muy
bajos de PFD y PFS, asimismo conseguir una mayor disponibilidad y en el caso de un
1oo2D tener un HFT=1.
Ya en los aos 2000 aparece lo que se denomina la 3 generacin de sistemas de
seguridad. Se trata de sistemas con un altsimo nivel de diagnsticos que permiten factores
de cobertura de diagnstico del 99.9%, lo que permite alcanzar seguridad independiente de
redundancia y votacin. En estos casos la redundancia es opcional y se utiliza para
alcanzar disponibilidad. Son sistemas altamente modulares y escalables con una alta
integracin en el DCS, hasta ahora el concepto era de separacin entre DCS y SIS, con esta
nueva generacin de sistemas este concepto est cambiando. Alcanzan certificaciones
TV de SIL 3 segn los estndares IEC 61508. Como se indic en el captulo 7.5.5
ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de Siemens, Delta V SIS de
Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de Yokogawa.
Se trata de arquitecturas FMR (Flexibles Modulares Redundantes).
Analizando la eq. (17) y la eq. (19) de un sistema 1oo1D llegamos a la expresin:
PFD = D * (1 C D ) * Ti (25)
A medida que los diagnsticos son mayores el factor de cobertura se acerca al 100%,
C D tiende a 1, con lo que la PFD para fallos no detectados se acercar a 0 y los fallos
158
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
peligrosos detectados se convierten en fallos seguros por lo que el nivel de seguridad SIL
de una funcin depender de la tasa de fallos no detectados ( DU ). Si este valor es pequeo
podemos llegar a nivel SIL 3, y si es tan pequeo que duplicndolo sigue estando en los
valores de SIL 3 podemos decir que cualquier arquitectura que se disee con este elemento
Hardware se mantendr dentro del SIL 3. Es decir que podemos tener elementos
redundantes en cualquier sistema sin afectar la seguridad y aumentando la disponibilidad
(ver arquitectura 2oo2). Las arquitecturas FMR permiten mltiples fallas y poder trabajar
en modo degradado sin afectar el nivel de integridad de seguridad funcional original, aun
siendo este SIL 3. Ejemplos de esta arquitectura:
Simatic S7 400 F/FH de Siemens:
Se trata de un sistema modular a todos los niveles. Los mdulos estn separados
fsicamente del controlador y conectados por un bus de comunicaciones estndar
certificado por TV para usos en seguridad funcional (Profisafe DP). Este bus permite la
comunicacin de cada componente con todos los dems.
El sistema puede tolerar mltiples fallas en diferentes componentes sin comprometer
la seguridad y sin parar la planta.
Una arquitectura que puede optar este sistema puede ser:
159
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Por tanto con esta configuracin se trata de un sistema que tolera 4 fallos hardware
HFT=4.
Para ms informacin consultar la pgina web http://www.automation.siemens.com.
Delta V SIS de Emerson:
160
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
161
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Tabla 7.5.8.2. Nivel SIL para los revolvedores lgicos programables PE, relacin arquitectura/seguridad.
Como el SFF es un dato que nos debe dar el fabricante y que precisa de complicados
anlisis FMDEA o bien datos de la experiencia en campo proven in use se recomienda
utilizar sistemas certificados cuyos SFFs han sido determinados en el alcance de la
certificacin.
Para todos los dispositivos de campo como sensores, elementos finales y
revolvedores lgicos no programables la mnima tolerancia al fallo hardware segn IEC
61511 ser el que se muestra en la siguiente tabla:
Tabla 7.5.8.3. Nivel SIL para sensores, elementos finales y revolvedores lgicos no programables, relacin
arquitectura/seguridad
162
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Un sistema E/E/PE completo esta constituido por subsistemas identificables y diferenciables que unidos
realizan la funcin de seguridad considerada. Un subsistema puede estar constituido por diferentes canales.
E/E/PE es una definicin de IEC 61508 que equivale a SIS en IEC 61511.
163
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Tabla 7.5.8.4. Nivel SIL del subsistema, relacin arquitectura/seguridad. Subsistemas tipo A y B
164
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
SFF =
+ +
SD SU DD
+ + +
SD SU DU DD
El problema est en obtener todas las tasas de fallo de los componentes de una
manera fiable y como tratar los componentes con criterio uso previo IEC 61511. Los
componentes certificados por TV ya nos indican directamente el valor de SFF.
Variante 2: Conocidos los valores de SFF y de qu tipo de elementos se trata (A o
B), por la tabla 7.5.8.4 obtener el SIL mximo del subsistema:
Sensor SFF = 65 %, tipo A SIL 2
Convertidor SFF = 98 %, tipo B SIL 2
Separador SFF = 89 %, tipo B SIL 1
Entrada SPLC SIL 3 SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con
respecto a la arquitectura. Para realizar este anlisis bajo la norma IEC 61508 se requieren
todos los datos de SFF y tasa de fallos por parte del fabricante.
Variante 3: Combinacin de las dos anteriores. El sensor se estima por la tabla
7.5.8.3 y las reducciones por el criterio uso previo.
Sensor uso previo reduccin 1 SIL 2 (IEC 61511)
Convertidor SFF = 98 %, tipo B SIL 2
Separador SFF = 89 %, tipo B SIL 1
Entrada SPLC SIL 3 SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con
respecto a la arquitectura.
Por otro lado s en un sistema E/E/PE relativo a seguridad, la funcin de seguridad se
implementa a travs de mltiples canales de subsistemas el mximo SIL hardware que
puede alcanzar la funcin de seguridad tratada ser determinada por:
Evaluacin de cada subsistema en relacin con los requisitos de la Tabla 7.5.8.4,
y
La agrupacin de los subsistemas y combinaciones, y
El anlisis de estas combinaciones para determinar el nivel de integridad de la
seguridad SIL global del equipo (hardware).
Consideremos el siguiente ejemplo donde la realizacin de la funcin de seguridad se
lleva a cabo por los subsistemas 1, 2, 3 4, 5, 3 tal y como se muestra en la figura 7.5.8.9.
165
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
167
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
168
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Tiempo de transferencia.
Proteccin por sobrecarga y cortocircuito.
Proteccin contra descargas atmosfricas.
Proteccin contra transitorios como ruidos y picos de tensin.
169
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.5.11 Interfaces
Aunque existen varios modos de interfaces en Sistemas Instrumentados de
Seguridad, los principales interfaces se encuentran como Interfaz Hombre-Mquina (HMI)
e interfaces de comunicacin. Podemos distinguir dos tipos de interfaces hombre-mquina:
Interfaces de operador.
Interfaces de mantenimiento/ingeniera.
1 Como mensaje entendemos, alarmas, eventos, alertas, situaciones, informacin que se quiere dar al
La interfaz con el operador es importante, pero no debe ser crtica para el correcto
funcionamiento del sistema. Desde la interfaz del operador no debe ser posible modificar el
sistema de seguridad. Si por diseo se requiere el uso de acciones del operador, el diseo
incluir sistemas de seguridad de proteccin contra errores del operador.
Cualquier accin tomada por el operador deber ser confirmada.
Acciones tpicas que el operador puede hacer son los bypass de seales para realizar
mantenimiento. Estas acciones estarn protegidas con contraseas para evitar ser realizadas
por personal no autorizado. Normalmente este tipo de acciones son realizadas por el
personal de mantenimiento de instrumentacin que es quien suele realizar las pruebas de
seguridad de los lazos de seguridad en el periodo marcado en las especificaciones de los
requerimientos de seguridad.
La informacin que debera ser monitoreada y a la que debe tener acceso el operador
es la que permite saber el estado en que se encuentra el sistema instrumentado de seguridad
y que es crtica para que se mantenga el SIL requerido. Esta informacin debe incluir:
La secuencia del proceso.
Indicacin de activacin de la funcin de seguridad del SIS.
Indicacin de las funciones de seguridad bypaseadas.
Indicacin automtica de degradacin del voto de una funcin.
El estado de los sensores y elementos finales de control.
La prdida de energa cuando esta afecta a la seguridad.
Fallos de equipos que son necesarios para el correcto funcionamiento del SIS.
Los resultados de los diagnsticos.
Histricos de alarmas y secuencia de eventos (suele venir como software de
servicios del PLC de seguridad y se recomienda que sea utilizado por personal
autorizado y de mantenimiento).
Las interfaces de operador tpicas para comunicar informacin entre el sistema de
seguridad y el operador son:
Paneles de control que contienen lmparas, botoneras, indicadores e
interruptores.
Monitores de visualizacin.
Alarmas sonoras y visibles.
Impresoras.
El propio BPCS como interfaz, si esta comunicado con el SIS.
Los monitores de visualizacin pueden compartir seales de alarma del sistema de
control y del sistema de seguridad teniendo en cuenta que los datos visualizados deben ser
actualizados y refrescados en el tiempo requerido y especificado, y deben estar claramente
identificados para evitar la confusin al operador de una situacin de emergencia indicada
por el SIS o por alarmas del sistema de control (BPCS).
Los mensajes y alarmas deben ser claros y concisos y deben tener una jerarqua para
diferenciar aquellos que son crticos critical de los no crticas como los de alerta
warning o las que avisan de alguna mal funcin del equipo advisory, se diferencian
171
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
por su sonido y su color normalmente y sern visibles en modo intermitente hasta que se
reconozcan y una vez reconocidos y hasta que se solucione el problema en modo continuo
(recomendacin EEMUA publicacin 191 Alarm Management).
[3] Artculo: Gestin de Alarmas: Un punto clave en la planificacin de la seguridad, Ignacio Queirolo,
Repsol YPF. Publicado en la revista Petrotecnia (feb 2011). (www.petrotecnia.com).
[4] The Alarm Management Handbook 2nd Edition. Hill Hollifield and Eddie Habibi, published by PAS,
(2010).
173
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
extrao encontrar sistemas de seguridad que nunca han sido chequeados y cuando estos
son probados se encuentran fallos peligrosos que conducen a la inactividad de la funcin
de seguridad para la que fue diseada, sobre todo en elementos de campo.
Donde:
DC = Factor de cobertura de diagnstico (0 100%) (Eficacia del test).
TI1 = Intervalo del test.
TI2 = Intervalo cuando el sistema realiza el test completo del sistema, o es
remplazado, o puede ser el tiempo de vida de la planta si el sistema no se prueba
completamente o se cambia.
As, s la vlvula ON/OFF tiene un d de 0.025 fallos por ao (MTTF = 40 aos), un
test peridico anual garantiza una efectividad del 95% (detecta el 95% de fallos) y la
vlvula cada 10 aos es cambiada. Qu PFDavg tendr la vlvula durante los 10 aos de
operacin si:
1) La vlvula se prueba cada ao y se cambia cada 10 aos.
2) La vlvula no se testea pero se cambia cada 10 aos.
Caso 1)
De la eq. (2) PFDavg = (0.95 * 0.025 * (1 ao/2)) + (0.05 * 0.025 * (10 aos/2) ;
PFDavg = 0.018 -> SIL 1
Caso 2)
De la eq. (2) PFDavg = (0 * 0.025 * (0 ao/2)) + (1* 0.025 * (10 aos/2) ;
PFDavg = 0.125 -> SIL 0
Se trata de una ecuacin aproximada y tiene poco error siempre que el tiempo medio
de fallo sea significativamente mayor que el intervalo de test (MTTF >> TI1).
Como vemos es necesario que en el diseo se establezcan las frecuencias y los
procedimientos necesarios para realizar las pruebas de los lazos de seguridad. Cada lazo de
seguridad (SIF) deber tener su propio procedimiento de manera que podamos descubrir
los fallos peligrosos no detectados por diagnsticos. En cada procedimiento se describirn
los pasos a seguir para realizar el test de seguridad de forma segura y que evite paros en
falso de la planta, asimismo la hoja de prueba de lazo ha de incluir (IEC 61511 parte1):
El funcionamiento correcto de cada sensor y elemento final.
175
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFD(t )dt
1
T
1
PDFavg =
176
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.5.12.2 Documentacin
Todas las operaciones, pruebas, y procedimientos de mantenimiento deben estar
completamente documentados y puestos a disposicin del personal. Como se ha comentado
anteriormente es una buena prctica que todas las partes, ingeniera, produccin y
mantenimiento estn involucrados en el desarrollo de los procedimientos de las pruebas de
seguridad con el fin de que todas las partes conozcan y entiendan los procedimientos.
Todos los tests realizados se deben guardar en formato de papel. El usuario debe
mantener registros que verifican que los tests y las inspecciones han sido realizadas como
se requiere en el procedimiento. Esta documentacin puede ser requerida y auditada por
una persona, grupo u organismo independiente con posterioridad. Normalmente todas las
empresas estn sometidas a auditoras internas propias y a auditorias de seguridad externas
realizadas por organismos independientes. El no cumplir con los procedimientos
requeridos se considera una falta grave que ha de ser resuelta en la mayor brevedad
posible.
Los registros de las pruebas de seguridad como mnimo han de incluir:
1) Sistema probado (tag, nmero de equipo, nmero de lazo, )
2) Intervalo de test.
3) Descripcin de los test e inspecciones realizadas.
4) Fecha de la realizacin de la prueba e inspeccin.
5) Nombre de la persona que realiza la prueba.
6) Resultados de la prueba e inspeccin.
El comit ISA SP84 ha editado anexo tcnico sobre test de sistemas de seguridad.
ISA-TR84.00.03-2002 se trata de una gua para pruebas de funciones instrumentadas de
seguridad implementadas en SIS.
(ANEXO N: Pruebas de Lazos de Seguridad)
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
177
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Problemas de tierra.
Inducciones electromagnticas, ruido elctrico.
A continuacin se resumen unas buenas prcticas que nos pueden ayudar a
minimizar problemas con el cableado:
Eliminar circuitos comunes. Cada equipo de campo tendr su propio y dedicado
cableado. Slo es posible utilizar un cableado comn en el caso de un bus de
campo (ej. profisafe de SIEMENS), siempre que cumpla con las especificaciones
requeridas de seguridad.
Cada entrada y salida de campo deben tener fusibles o limitadores de corriente,
que pueden ser parte de la lgica de los mdulos de entrada y salida del sistema o
usando fusibles externos.
Separar el cableado y cajas de conexin del sistema de seguridad de los dems
sistemas de control de la planta, asimismo etiquetar claramente los cables del
sistema de seguridad.
Se ha de tener en cuenta la inductancia, capacitancia y longitud de los cables.
Dependiendo de la seccin y la distancia se pueden producir inducciones que
impidan la actuacin de las entradas y salidas del sistema de seguridad por cada
de tensin.
En general los cables por bandeja debern llevar cubiertas metlicas o ser cables
armados para protegerse mecnicamente. Estas bandejas o cables armados deben
estar conectados a tierra al inicio y final y dependiendo de la distancia en puntos
intermedios con el fin de proteger las cables de interferencias electromagnticas y
proteccin contra rayos.
Aislar la tierra de los sistemas entre ellos y separar galvnicamente los elementos
comunes.
Disear los armarios de conexiones y cableado de manera que minimicen el ruido
elctrico y la alta temperatura.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
Un fallo se clasifica como fsico cuando algn estrs fsico excede la capacidad de
los elementos instalados. Un fallo sistemtico ocurre cuando el sistema, aunque est
funcionando, no es capaz de realizar la funcin especificada debido a errores de diseo o
instalacin.
Fallo de causa comn puede ser debido a diferentes situaciones. Puede producirse
por un estrs (figura 7.5.15.2) que produce un fallo en varios elementos o en una parte del
sistema y hace que sistemas redundantes fallen. Como fuentes de estrs tenemos
temperatura, humedad, corrosin, vibracin, interferencias electromagnticas, entre otras.
Asimismo un fallo en un elemento no redundante puede causar un fallo de causa comn,
por ejemplo podemos encontrar un controlador triplicado alimentado por una nica fuente
de alimentacin, el fallo de esta fuente hace que caigan los tres controladores. Un fallo de
causa comn puede resultar de un fallo sistemtico (p. ej. de diseo) que afecte a
elementos redundantes (figura 7.5.15.1).
Figura 7.5.15.1 Relacin de fallos de causa comn y los fallos sistemticos de canales individuales.
179
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El efecto del estrs hace que la tasa esperada de fallos () del sistema aumente y en
muchos clculos que no se ha considerado el efecto de los fallos de causa comn la
confiabilidad del sistema no alcance los valores estimados.
= independiente + cc (1)
Una forma de indicar el factor de influencia del estrs en los componentes idnticos
es el factor beta ( ). El factor beta representa la fraccin de la tasa de fallo en donde 2
ms fallos ocurrirn debido a un mismo estrs comn.
cc
= (2) cc = (3)
Indicar que el modelo del factor es un modelo emprico, no es un modelo real sino
que se trata de una estimacin de la realidad.
La norma IEC 61508 parte 6 1 indica valores estimados de factor para diferentes
equipos de lo que podemos extraer:
= 0,005 0,05 en equipos electrnicos programables.
= 0,01 0,1 en equipos de campo.
El anexo tcnico ISA-TR84.00.02-2002 parte 1 emitido por el comit ISA SP84, en
su anexo A, nos da una metodologa para la obtencin emprica de los valores de las
funciones instrumentadas de seguridad.
Para disminuir los fallos de causa comn las prcticas recomendadas ms efectivas
son:
Separacin fsica: unidades redundantes tienen menos probabilidad de recibir el
mismo estrs. Se trata de separar equipos.
Tecnologa diversa: unidades redundantes responden diferente a un estrs comn.
Se trata de utilizar equipos diferentes.
Si controladores redundantes son alojados en diferentes paneles, armarios, y a la vez
estos armarios en diferentes salas de instrumentacin un fallo de causa comn ser poco
probable. Si usamos dos diferentes transmisores de caudal, de dos diferentes fabricantes y
basados en diferentes tecnologas de medida ser prcticamente improbable que tengan un
problema de fallo por una causa comn.
1 Referencia a la normativa IEC 61508 parte 6 para obtener ms informacin sobre diferentes valores
de , procedentes de estudios empricos.
180
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFD1oo 2 = D *Ti 2
2
En un sistema 1oo2: (5)
Por tanto 1: (
PFDavg1oo 2 = D TI 2 / 3
2
) (6)
PFDavg1oo 2 = 0.000133
En un sistema 1oo2 con causa comn:
El PFDavg del sistema: PFDavg1oo 2 ( cc ) = PFDavg1oo 2 + PFDavg cc (7)
D 2 Ti 2 cc Ti
Por tanto: PFDavg1oo 2 ( cc ) = + (9)
3 2
PFDavg1oo 2 ( cc ) = 0.000633
PFD(t )dt
1
T
1
PDFavg =
181
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografa y referencias:
[1] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[2] ISA-TRS84.00.02-2002-Part1, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL).
Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
182
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
183
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.6.1 Introduccin
En la especificacin de requisitos de seguridad (SRS) se define el diseo de los
elementos que intervienen en la funcin de seguridad, tecnologa de los sensores,
procesador lgico y elementos finales, que arquitectura (redundancia) necesito para
cumplir con el SIL objetivo establecido en el anlisis de riesgos del proceso, software a
utilizar y se ha decidido que filosofa de pruebas queremos realizar para poder encontrar y
reparar cualquier fallo potencial no detectado en el equipo de seguridad, es decir, se ha
establecido un poltica de inspeccin y mantenimiento. Todas estas decisiones afectan al
clculo de PFD de cada funcin de seguridad.
Comprobar que el lazo de seguridad instalado cumple con el SIL objetivo requiere
de un trabajo analtico adicional complejo en el que hemos de considerar parmetros como
el fallo de causa comn en equipos redundantes, intervalos de pruebas de equipos, tiempos
de reparacin fuera de lnea, tipo de redundancia, nmeros de elementos de una funcin de
seguridad y muchos otros detalles. Todos estos detalles hacen que la verificacin del SIL,
el desarrollo y mantenimiento de los procedimientos y las herramientas adecuadas capaces
de un anlisis riguroso puede que sean muy exigentes y costosas. Este alto nivel de los
costes adicionales normalmente es difcil de justificar, salvo tal vez por las grandes
empresas de la industria de procesos.
Los mtodos de verificacin deben ser coherentes, lgicos y verificables. La mejor
manera es realizar la verificacin a travs de un procedimiento claro, documentado y
probado. Como ya se coment, en el mundo de la industria de proceso qumico y
petroqumico el mtodo ms utilizado para la seleccin del SIL objetivo es el mtodo
HAZOP en combinacin con las matrices de riesgos. Un procedimiento claro que verifique
y asegure el SIL objetivo resulta difcil de desarrollar y mantener, ya que implica la
demanda de un programa de seguridad con la implicacin de importantes recursos
econmicos y personales que no repercuten directamente en la produccin y que por tanto
en pequeas empresas es difcil de justificar. En el actual entorno industrial solo puede ser
soportado por grandes multinacionales.
Otro problema aadido al procedimiento de verificacin es encontrar datos precisos
para la realizacin de los clculos. Informacin sobre las tasas de fallo y su clasificacin en
sensores, sistema de control de seguridad, actuadores y elementos finales de control, etc.
depende de un exhaustivo y detallado anlisis modal de fallos, efectos y diagnsticos
(FMEDA). Cuando no es prctico realizar este tipo de anlisis se pueden realizar ciertos
supuestos, simplificaciones que es importante que sean conservativas. Si los modos de
fallo no se conocen, hemos de asumir que todos los fallos son peligrosos. Si la cobertura de
diagnstico no es conocida, todos los fallos son no detectables. Si el factor de causa comn
() no es conocido, un valor del 10 % ser conservativo.
Una solucin es utilizar equipos uso previo, son equipos ya instalados y la
experiencia nos da una fiabilidad contrastada, no es un sistema viable para pequeas
184
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.6.2 Procedimiento
La integridad de seguridad se define como la probabilidad de que una funcin
instrumentada de seguridad realice satisfactoriamente la funcin de seguridad requerida
bajo todas las condiciones establecidas y en un tiempo establecido.
La integridad de la seguridad se compone de 2 elementos:
1. La integridad de seguridad hardware.
2. La integridad de seguridad sistemtica.
La integridad de seguridad hardware se puede calcular con un nivel aceptable de
precisin y est basada en los fallos aleatorios del hardware del sistema. La norma
ANSI/ISA-84 y la IEC 61508 y 61511 se refiere a la integridad de seguridad hardware con
la especificacin de una medida objetivo de fallos para cada SIL. En una funcin
instrumentada de seguridad operando en modo demanda la medida objetivo de fallos es
dada por el valor PFDavg (probabilidad de fallo promedio para realizar la funcin de
seguridad en demanda) es la tasa de fallos peligrosos media. La integridad sistemtica de
la seguridad es difcil de cuantificar y las normas indican tcnicas, procedimientos y
medidas a seguir para reducir los fallos sistemticos introducidos en un sistema.
Normalmente son fallos producidos en las fases de especificacin, diseo, implementacin,
operacin y modificacin y afectan tanto al hardware como al software. Es en la
especificacin de los requisitos de seguridad donde se decide o se concluye el diseo de los
elementos (hardware, software, redundancia, etc.) y la forma de operar (poltica de
mantenimiento e inspeccin, frecuencia de las pruebas de lazos y equipos, etc.) y que
afectan a la PFD final de la funcin de seguridad.
Normalmente en la evaluacin de una SIF (funcin instrumentada de seguridad)
tambin se especifica una tasa de fallos seguros que sea aceptable. Estos fallos nos
conducen a disparos en falso o paros molestos. Aunque estos fallos producidos en el
sistema de seguridad no son fallos que nos llevan a una situacin de riesgo en demanda
como pasa con los fallos peligrosos, s que es cierto que nos conduce al paro y arranque del
proceso, que adems de consecuencias econmicas asociadas a la prdida de produccin, el
paro y arranque de una planta es un periodo crtico donde la probabilidad de que ocurra
algn riesgo es mayor, sobre todo en equipos como compresores y motores, o estrs en
tuberas y depsitos debido a cambio de temperatura o presin que puede ocasionar fugas
en bridas, tensiones en tuberas, etc. Por tanto el reducir los paros en falso aumentar la
seguridad del proceso. La tasa de fallos seguros es expresada como el tiempo medio para
fallos en falso MTTFspurious (mean time to fail - spurious).
A continuacin se puede ver un esquema lgico del proceso simplificado a seguir en
la selecccin y verificacin del SIL.
186
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Tabla 7.6.3.1 ndice SIL segn IEC 61511, IEC 61508 e ISA-TR84.01-1996
Para cumplir con un determinado nivel SIL requerido para una funcin
instrumentada de seguridad, el PFDavg debe ser menor que el lmite superior del SIL
dispuesto por la norma en cada nivel.
En general se puede afirmar que:
PFD = f (tasa de fallo (), tasa de reparacin (), intervalo de test (TI), causa comn
(), etc.)
Asimismo la funcin especfica f depender y ser un atributo de la arquitectura del
sistema seleccionada para el SIS.
La probabilidad de fallo en demanda se determina por la suma de las probabilidades
de fallo en demanda de todos los componentes implicados en cada funcin instrumentada
que asegura una proteccin contra eventos peligrosos de un proceso. Si la funcin de
proteccin incluye varias variables de proceso, necesitamos sumar sus probabilidades de
fallo, ya que slo que una de estas variables se encuentre en fallo el sistema instrumentado
de seguridad no funcionar correctamente.
cc = DU (3)
Donde es el factor de causa comn
Configuracin 1oo1
TI TI
PFDavg = DU + DF (4)
2 2
Dnde: DU es la tasa de fallas peligrosas no detectadas.
DF es la tasa de fallos sistemticos peligrosos.
TI es el intervalo de tiempo entre test de pruebas funcionales.
TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos.
2
2 2
3 2 2
Dnde: MTTR es el tiempo medio de reparacin.
190
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
comn.
TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos.
2
Configuracin 1oo3
( ) TI4
[( )
] TI TI
2
PFDavg = DU + MTTR TI 2 + DU + DF (7)
3 DU 2 DD
2 2
[( ) ]
El trmino DU DD MTTR TI 2 representa la probabilidad de errores durante
2
el tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, < 8 horas.
TI
2 es la probabilidad de fallo debido a fallos de causa
DU
El trmino
comn.
TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos.
2
Configuracin 2oo2
[
] [ TI
PFDavg = DU TI + DU TI + DF (8) ]
2
[ ]
El trmino DU TI es la probabilidad de fallo debido a fallos de causa comn.
TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos
2
Configuracin 2oo3
[(
PFDavg = DU ) TI
2 2
]+ [3 DU
] TI TI
DD MTTR TI + DU + DF (9)
2 2
191
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
[ ]
El trmino 3DU DD MTTR TI representa la probabilidad de errores durante el
tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, < 8 horas.
TI
2 es la probabilidad de fallo debido a fallos de causa
DU
El trmino
comn.
TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos.
2
Configuracin 2oo4
[(
PFDavg = DU ) TI
3 3
]+ [4( )
DU 2
] TI TI
DD MTTR TI 2 + DU + DF (10)
2 2
[( ) ]
El trmino 4 DU DD MTTR TI 2 representa la probabilidad de errores durante
2
el tiempo de reparacin de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparacin es corto, < 8 horas.
TI
2 es la probabilidad de fallo debido a fallos de causa
DU
El trmino
comn.
TI
El trmino DF es la probabilidad de fallo debido a errores sistemticos.
2
Consideraciones:
1. Para todos los clculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
2. Los trminos referidos a fallas sistemticas, fallos debidos errores en el diseo, en
la programacin, en la calibracin de los instrumentos, son excepcionalmente
introducidos en los clculos de verificacin del SIF debido a la dificultad de
evaluar los modos y efectos de fallos y la falta de datos de tasas de fallos
sistemticos. Sin embargo son muy importantes y pueden tener una repercusin
grave en el funcionamiento de nuestro sistema instrumentado de seguridad, por
ejemplo una vlvula de corte de gas cuyo actuador no es capaz de mover la
vlvula, si ocurre un evento peligroso la vlvula no actuar. Por esta razn las
normas IEC 61511, IEC 61508 y la ANSI/ISA-84.01 incorporan en el ciclo de
vida conceptos de diseo e instalacin, criterios de validacin y test, y un criterio
gestin de cambio si este es necesario. Por lo que la verificacin del SIL se basa
fundamentalmente en evaluar el rendimiento del SIS relacionados con los fallos
aleatorios y no los sistemticos, de diseo. Si de todas formas se quiere
incorporar un valor de probabilidad de fallo sistemtico al sistema, se puede
utilizar un nico valor de probabilidad de fallo sistemtico para toda la funcin,
ecuacin 11. Este valor lo podemos obtener de la experiencia de lazos similares
que podamos obtener de bases de datos o bien de nuestra propia experiencia.
192
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
TI
PFDSIS = PFDS ,i + PFDLS + PFDFE ,i + PFDPS ,i + DF (11)
2
3. Si el tiempo de reparacin de un componente redundante averiado se estima que
es corto, normalmente menos de un turno de operacin (8 horas). El trmino que
incorpora la variable MTTR, y que se refiere a la probabilidad de que ocurra ms
de un fallo mientras se est reparando un componente, se puede considerar nulo.
4. Los fallos de causa comn, fallos debidos a fuentes de estrs como temperatura,
humedad, corrosin, vibracin, interferencias electromagnticas o eventos
externos como la cada de rayos, pueden ser obviados si son factores que
normalmente son tratados en fase de diseo usando componentes basados en la
experiencia de la planta.
Por tanto y derivado de las consideraciones anteriores podemos simplificar las
ecuaciones anteriores sin trminos de mltiples fallos durante la reparacin y sin los fallos
sistemticos. S que dejaremos el trmino referente a los fallos de causa comn, ya que
son de los que ms datos se suele disponer y ms modelos y tablas existen.
Las ecuaciones simplificadas para las arquitecturas ms utilizadas en industria de
procesos (1oo1, 1oo2, 2oo3), teniendo en cuenta la posibilidad de utilizar elementos
redundantes con diferentes tasas de fallos (diversidad de componentes) son:
Configuracin 1oo1
TI
PFDavg = DU (4a)
2
Configuracin 1oo2
TI 2 TI
PFDavg = 1DU 2DU + 1 2
DU DU
(6a)
3 2
Configuracin 2oo3
TI 2 TI
PFDavg = 1DU 2DU + 1DU 3DU + 2DU 3DU + 1 2 3 (9a)
3 DU DU DU
3 2
Dnde:
iDU es la tasa de fallo peligroso no detectado de cada componente. Un fallo
peligroso no detectado, impide que la funcin del sistema instrumentado de seguridad se
realice cuando sea demandada, o que no trabaje como se dise. Como ejemplos:
- Un medidor de presin con la rama de proceso obstruida. Si la funcin de
seguridad es actuar por alta presin, un evento en el proceso no ser detectado y
por tanto no se realizar la funcin de seguridad diseada.
193
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
- Un transmisor de medida que por fallo electrnico enva una seal fija. Segn la
capacidad de diagnsticos del sistema este tipo de fallo podr ser o no ser
detectado. Si se puede detectar pasar a ser un fallo peligroso detectado iDD .
es el factor de causa comn. Es la fraccin de fallos peligrosos en las que todas
las medidas o canales de control fallan debido a una causa comn. Como ejemplo:
- Entrada de agua en un instrumento por un diseo defectuoso. Por ejemplo, en un
sistema 1oo2 es difcil que se produzca un fallo en los 2 instrumentos a la vez,
pero si el PLC no realiza un diagnstico por comparacin de seales en el sistema
1oo2, puede ocurrir que en el periodo de test de prueba de los instrumentos ( TI =1
ao) se pueda producir el error en los 2 instrumentos.
Procedimiento bsico para el clculo del PFDavg de los sensores.
1. Identificar cada sensor que detecta una desviacin fuera de las condiciones
normales de proceso y que lleva a que la SIF acte en contra de esa desviacin.
Slo los sensores que prevengan o mitiguen la desviacin designada se incluyen
en los clculos del PFD.
2. Obtener los valores del MTTF DU para cada sensor.
3. Calcular el PFD para cada configuracin de sensores usando el MTTF DU y las
ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de sensores para obtener el PFDS de la
funcin de seguridad evaluada.
Procedimiento bsico para el clculo del PFDavg de los elementos finales.
1. Identificar cada elemento final que protege una desviacin fuera de las
condiciones normales de proceso y que lleva a que la SIF acte en contra de esa
desviacin. Slo los elementos finales que prevengan o mitiguen la desviacin
designada se incluyen en los clculos del PFD.
2. Obtener los valores del MTTF DU para cada elemento final.
3. Calcular el PFD para cada configuracin de elementos finales usando el
MTTF DU y las ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de elementos final para obtener el
PFDFE de la funcin de seguridad evaluada. Este paso slo se realiza si la
funcin de seguridad evaluada requiere de mltiples elementos finales.
Procedimiento bsico para el clculo del PFDavg del revolvedor lgico (PLC de seguridad).
1. Identificar el tipo de revolvedor lgico usado.
2. Obtener el valor de MTTF DU del revolvedor lgico. Normalmente es un valor
dado por el fabricante.
3. El PFDLS es un valor que viene dado por el fabricante. Hoy en da en sistemas de
seguridad slo se utilizan PLCs de seguridad aprobados por organismos
independientes tipo TV que garantizan un SIL determinado. Como regla
general el PFDLS puede ser despreciado si el PLC es failsafe, PLCs que en caso
de fallo lleva el proceso a un estado seguro.
194
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Configuracin 1oo1
STR = S + DD + SF (14)
Configuracin 1oo2
[ ( )] [ (
STR = 2 S + DD + S + DD + SF )] (15)
Dnde: es el factor de causa comn, fraccin de fallos que impactan a ms de un
canal o un sistema redundante (causa comn).
[ (
El trmino S + DD )] representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino SF es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 1oo3
[ ( )] [ (
STR = 3 S + DD + S + DD + SF )] (16)
[ (
El trmino S + DD )] representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino SF es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 2oo2
[ ( ) ] [ (
STR = 2 S S + DD MTTR + S + DD + SF )] (17)
196
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Configuracin 2oo3
[ ( ) ] [ (
STR = 6 S S + DD MTTR + S + DD + SF )] (18)
Donde MTTR es el tiempo medio de reparacin.
[ (
El trmino S + DD )] representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino SF es la tasa de fallo seguro debido a errores sistemticos.
Configuracin 2oo4
[ ( ) ] [ (
STR = 12 S + DD MTTR 2 + S + DD + SF (19)
3
)]
Donde MTTR es el tiempo medio de reparacin.
[ (
El trmino S + DD )] representa la tasa de fallos espurios debido a fallos de
causa comn.
El trmino SF es la tasa de fallo seguro debido a errores sistemticos.
Consideraciones:
1. El trmino DD , tasa de fallos peligrosos detectados, se incluye en el clculo de la
tasa de paros espurios cuando el fallo peligroso detectado pone el canal (para un
sistema redundante) o de todo el sistema (para un sistema no redundante) en un
estado seguro (desenergizado), es decir, activa el sistema de seguridad. Si el fallo
peligroso detectado no lleva al sistema a un estado seguro, el trmino DD no
debe tenerse en cuenta en las anteriores ecuaciones.
2. Las ecuaciones (17), (18) y (19) asumen que los fallos seguros pueden ser
detectados en lnea (on-line). Si los fallos seguros slo pueden ser detectados a
travs de inspecciones y tests, el trmino MTTR debe ser sustituido por el
intervalo de test TI .
3. Para todos los clculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo espurio. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
4. Los trminos referidos a fallos sistemticas seguras, son tratados de la misma
forma que para el clculo de la probabilidad de fallos peligrosos (PFDavg)
(captulo 7.6.3.1 apartado consideraciones). Por lo que si de todas formas se
quiere incorporar un valor de probabilidad de fallo sistemtico al sistema, se
197
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Configuracin 1oo2
STR = 2 S (15a)
Configuracin 2oo2
( ) MTTR
STR = 2 S
2
(17a)
Configuracin 2oo3
( ) MTTR
STR = 6 S
2
(18a)
4. Calcular el STR para cada configuracin de sensores usando las ecuaciones antes
descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de sensores para obtener el STRS de la
funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR de los sensores.
1. Identificar cada elemento final que es controlado por el SIS.
2. Obtener los valores del MTTF spurious de cada elemento final.
3. Obtener los valores del MTTR de cada elemento final.
4. Calcular el STR para cada configuracin de elementos finales usando las
ecuaciones antes descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de elementos finales para obtener el
STRFE de la funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR del revolvedor lgico (PLC de seguridad).
1. Identificar el tipo de revolvedor lgico usado.
2. Obtener el valor de MTTF spurious del revolvedor lgico. Normalmente es un valor
dado por el fabricante.
3. El STRLS es un valor que viene dado por el fabricante. Hoy en da en sistemas de
seguridad slo se utilizan PLCs de seguridad aprobados por organismos
independientes tipo TV que garantizan un SIL determinado. El MTTF spurious
para un revolvedor lgico es una funcin no-lineal por lo que el usuario suele
pedir el MTTF spurious como una funcin de MTTR , por lo que el usuario solo
especifica el rango del MTTR aceptable.
Procedimiento bsico para el clculo del STR de la fuente de alimentacin.
1. En este apartado se refiere todas las fuentes de alimentacin externas al SIS,
como UPS (sistema de alimentacin ininterrumpida), generadores diesel, etc. Las
tasas de fallo seguro de las fuentes de alimentacin internas del revolvedor lgico
deben estar incluidas en las tasas de fallo del revolvedor lgico. Si no fuese as se
deberan tener en cuenta.
2. Obtener el MTTF spurious de cada fuente de alimentacin del SIS.
3. Obtener los valores del MTTF spurious de cada fuente de alimentacin.
4. Obtener los valores del MTTR de cada fuente de alimentacin.
5. Calcular el STRPS usando las ecuaciones antes descritas segn redundancia.
Como podemos reducir la tasa de paros espurios (STR).
1. Utilizando redundancia adicional de componentes para asegurar la disponibilidad
de proceso.
2. Utilizando componentes ms seguros, con valores de tasa de fallos espurios
menores.
3. Cualquier cambio que realicemos para aumentar la fiabilidad del sistema,
disminuir la tasa de fallo espurios requiere realizar de nuevo la evaluacin del
199
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFDavg del sistema para confirmar que se cumple con el SIL objetivo requerido
en las especificaciones de seguridad.
200
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
13. El valor objetivo target del PFDavg y MTTFspurious se define para cada SIF
implementada en el sistema.
14. Las ecuaciones asumen un camino de degradacin, es decir un sistema 2oo3
degrada como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y
un segundo fallo degrada a parada.
15. Por ltimo se asume que el usuario ha de estar familiarizado con las tcnicas de
verificacin SIF y tiene un conocimiento general de la utilizacin de las bases de
datos de tasas de fallos, anlisis de modos de fallo y de efectos, y evaluacin de la
causa comn y la cobertura de diagnstico.
Bibliografa y referencias:
[1] ISA-TRS84.00.02-2002-Part2, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL).
Evaluation Techniques Part 2. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Fiabilidad y Seguridad: Su aplicacin en procesos industriales. Antoni Creus i Sol. 2 edicin.
MARCOMBO, 2005.
[4] Seminario: Functional Safety for the Process Industry. TV SD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
[5] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com.
[6] Simplified Methods and Fault Tree Analysis of Safety Instrumented Systems. Staff from Premier
Consulting Services. INVENSYS performance solutions.
Del anlisis HAZOP realizado para el ejemplo, de todos los fallos con consecuencias
importantes que se sugieren se analiza el caso de prdida o exceso de flujo en la lnea de
gas natural a los pilotos (color rojo). El diagrama P&I mostrado en la figura 7.6.3.3 nos
muestra el resultado final tras realizar el HAZOP, despus de realizar la verificacin del
SIL objetivo para la funcin por clculo de PFDavg con el mtodo de ecuaciones
simplificadas. Los lazos en verde representan variaciones del proceso que han de ser
analizadas en el HAZOP, como parte de otras funciones de seguridad y que pueden tener
consecuencias importantes de seguridad 2.
A continuacin se muestra el resultado del estudio HAZOP (el estudio del HAZOP
para esta funcin de seguridad es un caso real).
1 HAZOP aproximado para la realizacin del ejemplo. Se analizar slo una SIF.
La obtencin del valor objetivo SIL se realizar por medio de la matriz de riesgos
(ver captulo 7.3 Definir SIL objetivo).
203
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Otras consideraciones:
Cumplimiento reglamentario: Las vlvulas de aislamiento en las lneas de fuel gas y
gas natural a quemadores y pilotos se han de instalar con doble vlvula de corte y venteo
intermedio a travs de un borboteo conectado a colector de antorcha aguas arriba del
colector de presin con el fin de aislar las lneas de gas a pilotos y quemadores. Asimismo
estas vlvulas han de tener un reset local cercano a las vlvulas (HS 03). Las vlvulas
tendrn indicacin de posicin a travs de finales de carrera. A fallo de energa cierran
(posicin de seguridad cerrada). Segn norma NFPA 85.
Del Anlisis HAZOP obtenemos las funciones de seguridad a implementar en el
Sistema Instrumentado de Seguridad. En el caso de la llama piloto, una variacin del flujo
de gas natural a las llamas piloto puede provocar que estas se apaguen. La seguridad del
sistema vendr dado por la lectura de presin de la lnea, una fluctuacin en la presin de
la lnea implica una variacin del flujo de gas natural. La variacin de presin puede
provocar que los pilotos se extingan con el potencial de crear una atmsfera explosiva en el
hogar del horno.
Anlisis SIL: Baja presin de gas natural a pilotos.
Evaluacin de seguridad:
Matriz de riesgos:
204
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Segn la norma IEC 61511 y la ANSI/ISA 84.01, un sistema de vlvulas block and
bleed (bloque y purga) es considerado un sistema 1oo2.
Se han realizado las siguientes suposiciones:
1. La SIF ha sido diseada como desenergizar para paro.
2. Todos los componentes redundantes tienen la misma tasa de fallos.
3. Hay redundancia externa de fuentes AC de alimentacin.
4. El PFDavg y el MTTFspurious para el PLC de seguridad redundante es dado por el
fabricante y se asume un valor de 0.00005 y 100 aos respectivamente.
5. Intervalo de test funcional de 12 meses (TI).
6. MTTR de 8 horas, se supone una reparacin perfecta.
7. Errores sistemticos y de causa comn se estiman negligibles.
205
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
STR PS = 0.05
MTTFspurious del sistema:
1
Eq. (21); spurious
MTTFSIS =
STRSIS
207
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1. General
1.1 En general se cumplirn todos los requerimientos de la norma IEC 61511. Estos
requerimientos se detallan en la gua global de la compaa.
2. Personal
2.1 Slo personal cualificado y entrenado participar en la realizacin de las diferentes
actividades englobadas en ciclo de vida de seguridad.
2.2 Todos los resultados de las actividades de las diferentes etapas definidas en el ciclo
de vida han de ser verificadas por una segunda persona que no haya estado
directamente involucrada en la actividad (principio de los 4 ojos). Estas etapas se
definen en detalle en la IEC 61511.
3. Anlisis de riesgo de proceso para sistemas instrumentados
3.1 Se utilizar el mtodo HAZOP principalmente, como alternativa podr utilizarse el
mtodo rbol de fallos para la realizacin del anlisis de riesgo.
208
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
3.2 Se usar la matriz de riesgos para asignar un valor objetivo SIL (nivel integro de
seguridad) a cada caso.
3.3 Slo funciones con SIL 2 o SIL 3 sern implementadas como funciones de seguridad
de un sistema instrumentado. Las funciones con un SIL < 2 se considerarn como
funciones de monitorizacin y alarma y se implementarn en el sistema bsico de
control de proceso (BPCS, normalmente un DCS). Funciones con un SIL > 3
requerir una modificacin del diseo del proceso o bien el uso de otros sistemas de
proteccin adems del sistema instrumentado de seguridad.
3.4 El diseo deber ser fijado y verificado en el paso 3 (Safety Review Process) para
cumplir con el SIL objetivo especificado (ver Figura 7.1.3. Ciclo de Vida de
Seguridad SIS ejemplo). Finalmente antes del start-up el diseo final instalado debe
ser verificado y validado en el paso 4 (PSSR). La disponibilidad y fiabilidad de una
funcin de seguridad depender de los equipos y arquitectura seleccionada, del
intervalo y mtodo de test definido, del tiempo medio de reparacin de componentes
(MTTR) y de la cobertura de diagnstico y fallos de causa comn.
3.5 Todos los resultados obtenidos en los pasos de revisin de seguridad de cada etapa
(safety review) han de estar documentados.
4. Implementacin del Sistema Instrumentado de Seguridad
4.1 Slo deben utilizarse instrumentos y equipos de campo que estn aprobados por la
compaa y por tanto que formen parte de la lista estndar de equipos. Los equipos
que no formen parte de la lista estndar aprobada por la compaa solo podrn
utilizarse si:
- se puede demostrar que el equipo es un equipo proven in use (uso probado) en
una planta qumica sin haber tenido ningn fallo peligroso en el ltimo ao y
- es aceptado por el comit de expertos regional encargado de establecer las
normas y redactar las guas.
4.2 Si se utilizan las arquitecturas tpicas estndares aprobados por la compaa y los
equipos pertenecientes a la lista estndar, no ser necesario realizar los clculos de
disponibilidad ni fiabilidad de la funcin de seguridad. El estndar de la compaa ya
nos dar en funcin de los elementos escogidos los test de frecuencia permitidos,
MTTRs, y que valor SIL es alcanzado (ver captulo 7.6.4.1 Arquitecturas tpicas).
4.3 Todos los componentes de las SIF y componentes que son parte del SIS deben estar
claramente marcados. En la documentacin se diferencian como elementos Clase A,
y en campo utilizando distintivos fsicos.
209
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
210
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
211
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
213
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
214
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
3 2
Donde iDU = (1 DC )
Y donde el PFDavg de la funcin instrumentada ser:
PFDSIS = PFDS ,i + PFDLS + PFDFE ,i (1)
Dnde:
- PFDSIS es el PFDavg para la funcin de seguridad especfica SIF en el SIS.
- PFDS es el PFDavg del sensor para la funcin de seguridad especfica SIF en el SIS.
- PFDFE es el PFDavg del elemento final para la funcin de seguridad especfica SIF
en el SIS.
- PFDLS es el PFDavg del resolvedor lgico (PLC de seguridad) del SIS. Como regla
general si el PLC utilizado es un SPLC (PLC fail safe) su contribucin es despreciable, ya
que cualquier fallo nos llevar a una posicin de seguridad.
- i representa cada grupo de componentes que es parte de la especfica SIF.
Por lo que las nicas variables que necesito para el clculo del PFDavg son:
: tasa de fallos del dispositivo.
: factor de causa comn.
DC: Cobertura de diagnstico. Fraccin de fallos que son detectados por
diagnsticos no realizados por el elemento de campo, por ejemplo en el SPLC.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related
Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998
[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
217
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Cualquier cambio o modificacin que se realice en algn equipo especfico del SIS
durante la instalacin, comisionado o PSAT requiere volver a realizar el estudio de
seguridad correspondiente y debe estar debidamente documentado y consensuado.
La instalacin del sistema incluye todos los elementos hardware relacionados con el
SIS como sensores, elementos finales de control, cableado de campo, cajas de conexiones,
armarios de instrumentacin, PLC de seguridad, interfaces con el operador, sistemas de
alarmas, etc.
Para garantizar una correcta instalacin y comisionado del sistema el contratista debe
proporcionar y establecer unas pautas y puntos de trabajo como:
Las actividades de instalacin y comisionado.
Procedimientos, tcnicas y medidas a usar para la instalacin y comisionado.
Planificacin de esas actividades.
Personas, departamentos y organismos responsables para esas actividades.
Y como requerimientos generales relacionados con el proceso de instalacin se
recomienda:
Considerar la instalacin del SIS de manera separada a otros trabajos elctricos o
de instrumentacin de otros sistemas que puedan tener lugar, aunque el
contratista ejecutor de la instalacin sea el ejecutor de estos otros trabajos. De
esta manera minimizaremos posibles problemas de causa comn en la instalacin
y se refuerza la visin de criticidad del sistema de seguridad que se instala.
Asegurar que el diseo entregado al contratista esta completo y correcto. Es
importante que el contratista este altamente cualificado y experimentado en este
tipo de instalaciones.
220
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Todos los dispositivos y equipos deben ser instalados segn las recomendaciones
de los fabricantes y de manera que permitan un fcil acceso para mantenimiento y
pruebas.
El contratista no debe realizar ningn cambio de material sin ser autorizado y
aprobado por la ingeniera del sistema.
El contratista no debe realizar ningn cambio en la calibracin de los equipos de
campo existentes.
Proteger los dispositivos y equipos de campo de daos fsicos y
medioambientales antes de la instalacin.
El comisionado asegura que el SIS se ha instalado conforme al diseo detallado.
Constituye un chequeo fsico que confirma que los equipos, dispositivos y cableados se
encuentran instalados de acuerdo al diseo y que los dispositivos de campo son operativos
y por tanto el sistema est listo para realizar las PSAT (Pre-Start Acceptance Test), para
poder concluir con la validacin del sistema.
El chequeo de la instalacin se puede separar en dos diferentes fases:
1. Comprobacin del dispositivo y cableado de campo. Se trata de comprobar como
el dispositivo de campo esta fsicamente instalado, cableado, continuidad en el
cableado, cajas de conexiones, etiquetado, terminales, etc. Normalmente el
contratista termina esta fase sin energa en el sistema y por tanto sin comprobar
funcionalidad.
2. Comprobacin funcional de los equipos y dispositivos. Comprobacin funcional
de los dispositivos de campo y del sistema lgico despus que el SIS ha sido
conectado y energizado.
El propsito final es confirmar que:
Las fuentes de energa son operativas.
Los equipos y cableado han sido adecuadamente instalados.
Los instrumentos han sido adecuadamente calibrados.
Los dispositivos de campo son operativos.
El PLC de seguridad y los mdulos entrada/salida son operativos.
Existen varias publicaciones IEC que contienen procedimientos y formularios para
llevar a cabo las comprobaciones mencionadas y que ayudan a asegurar la correcta
instalacin y chequeo de los dispositivos como la IEC62381 ed. 1.0 2004. Activities during
the factory acceptance test (FAT), site acceptance test (SAT) and site integration test (SIT)
for automation systems in the process industry.
SAT 1 (Pruebas de aceptacin en el sitio): Inspeccin y pruebas en la planta para
validar que el sistema instrumentado de seguridad instalado, as como sus funciones
instrumentadas de seguridad, logran cumplir las especificaciones de los requerimientos de
seguridad. Ver captulo 7.8.1 PSAT (Pre-Start Acceptance Test).
SIT 1 (Pruebas de integracin en el sitio): Una vez completadas las pruebas SAT del
SIS, se integran las comunicaciones entre BPCS y el SIS, as como cualquier otro tipo de
comunicacin. El sistema integrado es probado como uno solo para garantizar que trabaja
adecuadamente. Las seales del SIS, diagnsticos, alarmas desplegadas en las pantallas de
control del BPCS (HMI) deben ser probadas.
A continuacin se muestra un esquema a modo de informacin de las diferentes
etapas para la correcta integracin del sistema BPCS y SIS.
223
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Todos los equipos usados para la calibracin y pruebas deben presentar certificados
de calibracin por parte del contratista encargado de realizar las PSAT o bien por parte de
la propiedad si fuese el caso.
La documentacin requerida una vez realizado el comisionado y las pruebas PSAT
dependen de la complejidad del sistema de seguridad y de los documentos elaborados por
el equipo del diseo, pero como mnimo la documentacin debe incluir de forma general:
Identificacin de que el SIS ha sido probado.
Confirmacin de que el comisionado esta completado y finalizado.
Fecha de realizacin de las PSAT.
Aceptacin por parte de la propiedad. Firma autorizada que confirma que las
PSAT han sido realizadas y completadas satisfactoriamente.
Referencia de los procedimientos utilizados en las PSAT.
Normalmente cuando un sistema completo se est probando es necesario realizar y
seguir procedimientos detallados de pruebas, por lo que habitualmente precisaremos de la
siguiente documentacin como apoyo a la validacin del SIS, aparte de la documentacin
mnima mencionada anteriormente:
Procedimientos de validacin.
Copia de las especificaciones de los requisitos de seguridad.
Listado de la programacin del PLC de seguridad.
Diagrama de bloques del sistema.
Lista completa de entradas/salidas.
Diagramas de proceso e instrumentacin (P&ID).
ndice de instrumentos.
Hojas tcnicas de los equipos.
Diagramas de lazo.
Esquemas elctricos.
Configuracin del sistema bsico de control (BPCS) para cualquier entrada/salida
del SIS.
Planos de implantacin de los principales equipos.
Diagramas de conexiones en cajas de conexin y armarios, as como las
interconexiones y terminales de todo el cableado.
Diagrama de tubings y sistema neumtico.
Documentacin del fabricante de los equipos, incluyendo manuales.
Si durante las pruebas PSAT existiese alguna discrepancia y no se cumpliese con los
requisitos establecidos durante el diseo se deben estudiar las implicaciones sobre la
integridad del sistema que conlleva y evaluar si es necesario regresar a alguna etapa
anterior del ciclo de vida de seguridad. Si el fallo es debido a algn problema con los
equipos, se debe documentar el fallo y corregirse.
224
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
En esta etapa del ciclo de vida de seguridad ya hemos comprobado que el sistema
instrumentado de seguridad trabaja correctamente segn las especificaciones requeridas.
Aqu finalizara la fase Realizacin o Implementacin, con el SIS instalado y listo para
ser puesto en servicio. Solo nos quedara comprobar que el plan de mantenimiento este
realizado y sea acorde con los periodos establecidos en las SRS y realizar una ltima
revisin de seguridad llamada PSSR (Pre-Start Safety Review) para poder poner en
servicio el SIS (Captulo 7.9 Operacin y Mantenimiento).
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[4] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com
225
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
227
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
228
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 En el captulo 7.5.12 Mantenimiento y pruebas funcionales se di una visin general del porque de
estas pruebas, como inciden en el clculo del nivel de integridad de seguridad objetivo deseado y como
establecer un periodo de pruebas que se ajuste a las necesidades del sistema y de la planta.
229
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
230
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.9.3.2 Documentacin
El ingeniero E&I archivar todos los informes, se recomienda en formato electrnico
y en papel, que certifican que las pruebas funcionales de seguridad e inspecciones han sido
realizadas como es requerido. Los informes, como mnimo, deben contener la siguiente
informacin:
Nmero Tag.
Intervalo de test.
Descripcin del test e inspeccin realizada.
Fecha de realizacin del test e inspeccin.
Firmas de las personas que realizan el test e inspeccin.
Firmas del ingeniero de planta E&I y del Plant Manager.
Resultado del test e inspeccin.
(ANEXO N: Pruebas de Lazo Clase A)
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[4] Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[5] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com
1
La universidad URV de Taragona dispone de Ctedra Enresa-URV de Seguridad Industrial donde se
describen algunos casos de accidentes catastrficos sucedidos en los ltimos aos.
231
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
reactores, se opt por bypasear el reactor con una tubera temporal con el fin de mantener
la produccin y sacar de lnea el reactor para ser reparado.
No se consult a ningn ingeniero especializado en seguridad ni en proceso. El nico
diseo que se realiz sobre el cambio fue un plano dibujado con una tiza en el suelo del
taller. Una vez modificado el proceso se realiz un test de presin neumtico a 127 psig en
lugar de un test hidrulico y a una presin de 156 psig, como marcaba el lmite de la
vlvula de seguridad del proceso, por lo que se violaban los estndares y guas britnicas
del momento. La tubera funcion durante aproximadamente 2 meses hasta que hubo un
ligero incremento de presin (por debajo del punto de disparo de la vlvula de seguridad)
que caus flexin en la tubera de tal forma que fue suficiente para expulsar la tubera y
dejar las dos bridas de 28 pulgadas abiertas, produciendo una nube de gas que explosiono
con el resultado de 28 muertes y 36 heridos de gravedad, destruccin de la planta,
destruccin de edificios en un rea de 600 metros, rotura de cristales en un rea de 12
kilmetros y fuego en la planta durante 10 das que obstaculiz las labores de rescate.
Como principal leccin que podemos tomar es que todas las modificaciones deben
ser diseadas y revisadas por personal cualificado y que hay que seguir procedimientos
estrictos de gestin de cambios 1 para analizar el impacto de los cambios.
OSHA 29 CFR 1910.119 Process Safety Management of Highly Hazardous
Chemicals requiere establecer e implementar procedimientos escritos para gestionar los
cambios en procesos qumicos, en la tecnologa, equipos y procedimientos, y cambios en
las instalaciones que afecten al proceso.
ANSI/ISA 84.00.01 establece que los procedimientos de la gestin de
modificaciones deben estar realizados para poder iniciar, documentar, revisar, implementar
y aprobar los cambios en el sistema instrumentado de seguridad antes de realizar el
cambio.
IEC 61511 Parte 1 Clasula 17 establece los requerimientos para las modificaciones
del sistema instrumentado de seguridad.
En ambas normas y estndares no aplica a los cambios en especie replacement in
kind, es decir, por ejemplo, un instrumento por otro igual (misma tasa y modo de fallos) y
realizando la misma funcin.
justificar seguir los procedimientos MOC. Los fabricantes tienen la capacidad de modificar y agregar
funcionalidad a los dispositivos a travs de cambios de software. Normalmente es el fabricante quien
gestiona que los cambios no distorsionan la seguridad requerida.
2 Existen numerosos videos, reportajes y reseas donde se enumeran la serie de eventos que condujo al
desastre. Uno de los documentales ms tcnico y relacionado con el sistemas de seguridad lleva por nombre
Piper Alpha, la espiral hacia el desastre realizado por Coastal Training Technologies Corportaion. Se trata
de un documental bsico para entender la importancia de procedimentar la gestin de cambios.
233
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.10.3 Documentacin
Las modificaciones que se realizan en un sistema instrumentado de seguridad han de
estar debidamente documentadas y mantenidas para todo el personal que trabaje con el
sistema. La documentacin al menos ha de incluir:
Una descripcin de la modificacin.
Motivo de la modificacin.
Peligros que pueden verse afectados.
Anlisis del impacto de la modificacin en el sistema instrumentado de
seguridad.
Todas las aprobaciones que se han reunido hasta la implementacin del cambio.
Documentacin del diseo (hardware y software).
Aplicacin lgica.
Las pruebas utilizadas para verificar que la modificacin se ha implementado
adecuadamente y que el sistema instrumentado de seguridad trabaja como es
requerido, y los resultados. Similar a un pre-strat acceptance test (PSAT).
Las pruebas utilizadas para verificar que la modificacin no ha tenido impacto en
el resto del sistema instrumentado de seguridad, y los resultados.
Procedimientos de operacin y mantenimiento actualizados.
Documentacin secundaria afectada por el cambio como manuales, planos,
registros de instrumentos, recomendaciones de recambios, etc.
Realizacin de las especificaciones de los requisitos de seguridad del cambio
realizado y sistema que se haya visto afectado.
Por ltimo y muy importante, eliminar toda la documentacin obsoleta. Esta
documentacin solo puede producir errores en trabajos de operacin, mantenimiento,
futuras modificaciones, etc.
Bibliografa y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
234
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.10.4 Decomisionado
El decomisionado de un sistema instrumentado de seguridad no deja de ser una
modificacin del SIS. Cuando un SIS es desactivado, se requieren los mismos pasos y
procedimientos del MOC, de forma que se asegure que otros sistemas o procesos que
puedan estar relacionados con el sistema a decomisionar no se vean afectados, por lo que
todas las actividades de decomisionado requiere procedimentales como un cambio y ser
dirigido como una actividad de modificacin del sistema instrumentado de seguridad.
235
Anexos Anexo A: Vista general del Ciclo de Vida
8 ANEXOS
236
Anexos Anexo A: Vista general del Ciclo de Vida
Requisitos de
seguridad del SIS.
237
Anexos Anexo B: Ejemplo HAZOP Sistema Antorcha
1 EBDD: sitema de Emergencia, Bloqueo, Drenaje y Despresurizacin que se activa de forma manual
para reducir riesgos en diferentes unidades de fraccionamiento de la planta.
238
Pgina intencionadamente en blanco: Tratamiento confidencial
Anexos Anexo C: Respuestas a las Recomendaciones
240
Anexos Anexo D: Asignacin SIL: Matriz de Riesgo
241
Anexos Anexo E: P&ID
242
Anexos Anexo F: CEM; Matriz Causa Efecto
243
Anexos Anexo G: SRS: Especificaciones para las SIF
244
Anexos Anexo H:Clculo SIL; Verificacin
8.8.1 SIF N 1:
245
Anexos Anexo H:Clculo SIL; Verificacin
[(
PFDavg = DU ) TI
2 2
]+ [3 DU
] TI TI
DD MTTR TI + DU + DF
2 2
[ ( ) ] [ (
STR = 6 S S + DD MTTR + S + DD + SF )]
PFDavg,s = 2.918E-06 SIL 3
HFT= 1
MTTFS,S = 34274 aos
.
La vlvula por su condicin fail safe retorna a su posicin de seguridad a falta de
energa por lo que el anlisis se centrar en la disponibilidad y fiabilidad de la electrovlvula.
La electrovlvula ASCO tipo 551 est certificada por EXIDA para aplicaciones hasta
SIL 3.
Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves
used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los
siguientes resultados:
Clasificacin del equipo solenoide: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 60 y 90%) el elemento alcanza SIL 3 con HFT=1
y SIL 2 con HFT=0.
246
Anexos Anexo H:Clculo SIL; Verificacin
Votacin: 1oo1
HFT: 0
MTTR 8 horas
Intervalo de test 6 meses
-
Cobertura de test 100%
Utilizando el mtodo de las ecuaciones simplificadas:
TI TI
PFDavg = DU + DF STR = S + DD + SF
2 2
247
Anexos Anexo H:Clculo SIL; Verificacin
8.8.2 SIF N 2:
Parte Sensor:
1 transmisor de presin con votacin 1oo1 por baja presin (1.2 barg). Transmisor de
presin Fisher Rosemount (EMERSON) tipo 2088G.
Del anlisis FMEDA realizado por EXIDA (Project: 2088 pressure transmitter)
obtenemos los siguientes resultados:
Clasificacin del transmisor de presin: TIPO B (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 60 y 90%) el elemento alcanza SIL 1 con HFT=0
(1oo1).
FIT is the abbreviation for Failure In Time. One FIT is 1E-09 failure per hour
248
Anexos Anexo H:Clculo SIL; Verificacin
TI TI
PFDavg = DU + DF STR = S + DD + SF
2 2
PFDavg,s = 5.52E-04 SIL 3
HFT= 0
MTTFS,S = 313 aos
249
Anexos Anexo H:Clculo SIL; Verificacin
Resultado para la funcin de seguridad SIF N2 con arquitectura 1oo1 en parte sensor y
1oo1 en parte elemento final:
PFDSIF = PFDS ,i + PFDLS + PFDFE ,i
1
MTTF spurious =
STRSIF
250
Anexos Anexo H:Clculo SIL; Verificacin
251
Anexos Anexo I:Hojas Tcnicas
252
Anexos Anexo J:Lazos de Control
253
Anexos Anexo K: Diagramas Lgicos
254
Anexos Anexo M: Sinpticos BPCS
255
Anexos Anexo N: Pruebas de Lazo de Seguridad
256
Anexos Anexo O: PSSR Pre-Start Safety Review
257
Anexos Anexo P: Proteccin de la informacin SIS
258
Anexos Anexo P: Proteccin de la informacin SIS
259