Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Diseñemos Funciones
Instrumentadas de Seguridad!
Asignatura Electiva: Introducción a los Sistemas Instrumentados de
Seguridad (SIS)
‣ Estas funciones podrán ser consideradas IPL (ver características de una IPL)
‣ Para un escenario de riesgo se podrán usar una o varias funciones como IPL
‣ Se podrán usar varias funciones si éstas son ejecutadas en sistemas diferentes
‣ BPCS + SIS de prevención + SIS de mitigación
‣ No se podrá usar más de una función de un sistema para un mismo escenario
2
Las Funciones de Seguridad (FS)
3
Las funciones de seguridad de los
dispositivos
Las FS son inherentes a todo dispositivo de seguridad
Un relé “detecta” que se le ha quitado la energía eléctrica y “actúa” cerrando y
abriendo sus contactos para reducir el riesgo consecuente con esta falta de energía
Un controlador de seguridad “detecta” por medio de detectores conectados a él y
“actúa” por medio de actuadores conectados a él
Una válvula “detecta” una causa para actuar y “actúa” cerrándose o abriéndose para
reducir el riesgo
4
Función Instrumentada de Seguridad
(SIF)
Actuador
Sensor
Logic Solver
Sub-sistemas de un SIS
#1 #2 #3 #4 #5 #6
6
Fallas en las Funciones de Seguridad
8
Función de Seguridad vs. Estado del
Proceso
Función de
Proceso
Seguridad
Ok Está disponible y seguro
Seguro (S) Se ha detenido por disparo de la
(en falla segura) función de seguridad
Peligroso (D) Está disponible pero no está
(en falla peligrosa) protegido/a
9
Fallas Aleatorias del Hardware
1
0
Fallas Aleatorias del Hardware
El equipamiento utilizado en
sistemas de seguridad tiene que
tener tasa de fallas constante ( λ
= cte )
El fabricante debe definir el
tiempo de servicio del
componente durante el cual esta
premisa se cumple
1
1
Modos de Falla Aleatoria
Las fallas aleatorias se pueden dividir
en:
NE
Fallas Seguras (S) NP DU
Fallas Peligrosas (D)
Fallas que no afectan a la seguridad
SU
A su vez, las fallas seguras y peligrosas
se pueden dividir en: DD
Fallas Detectadas (SD, DD) SD
Se descubren por medio de diagnósticos
internos (autodiagnóstico)
1
2
Modos de Falla Aleatoria
La Fracción de Falla Segura (SFF), es el
porcentaje de todas las fallas que llevan
a un estado seguro NE
Es una medida de la efectividad del
NP DU
diseño “failsafe” y/o de los
diagnósticos incorporados (ver
Descubriendo Fallas) SU
Es un parámetro de diseño, no un
parámetro operacional DD
La SFF se usa para determinar las SD
restricciones de arquitectura de un
subsistema (ver Diseño de Hardware)
Su valor se puede calcular a partir de las
tasas de falla: SFF
SFF = (SD+DD+SU) / (SD+DD+SU+DU)
1
3
Probabilidades de Falla en Demanda y
Segura
Una vez que obtengamos todos los valores relacionados con las fallas
aleatorias de un componente o sub-sistema, seremos capaces de calcular las
probabilidades de que éste falle
Cuando falle en forma peligrosa, diremos que está fallando “en demanda”,
porque no será capaz de funcionar cuando su acción sea requerida:
PFD = Probabilidad de Falla en Demanda
La PFD es el valor que define el FRR de la función y, por lo tanto, es el valor que
determinará el SIL que la función podrá alcanzar (sólo desde el punto de vista de
las fallas aleatorias del hardware)
Cuando el elemento falle en forma segura, se ejecutará su acción protectora
sin necesidad, por eso diremos que la falla es espuria o segura
PFS = Probabilidad de Falla Segura (o espuria)
1
4
Probabilidad de Falla en Demanda del
Subsistema
La PFD depende generalmente de la suma de todas las tasas de fallas peligrosas.
Cuando el autodiagnóstico haga que las fallas DD disparen la acción protectora, la tasa de
éstas ya no formará parte de la PFD. En ese caso, la PFD sólo dependerá de la tasa de las
fallas peligrosas no detectadas
Como la única forma de descubrir las fallas DU es realizar pruebas de comprobación, la
PFD también dependerá del intervalo entre esas pruebas (PTI). Ver Descubriendo Fallas
La PFD es considerada entonces como un valor medio en ese intervalo
1
5
Probabilidad de Falla Segura del
Subsistema
La PFS dependerá de la suma de la tasa de fallas seguras (S) y de la tasa de fallas
peligrosas detectadas (DD), considerando que el autodiagnóstico hará que las
últimas actúen como si fueran seguras
La PFS también dependerá también, entonces, del intervalo entre esas pruebas de
auto-diagnóstico (DTI). Ver Descubriendo Fallas
1
6
PFD de la Función de Seguridad
1
7
Probabilidad de Falla en Demanda de la
SIF
Relación entre la PFD, el FRR y el SIL
1
8
Evolución de la PFD con PTI = 1 año
SIL 1
SIL 2
1
9
Fallas de Causa Común en el Hardware
Definición:
Fallas simultáneas o coincidentes de dos o más canales separados, en un sistema de
canales múltiples, y que llevan a éste a una falla del sistema.
En seguridad Funcional
Se usa diversidad como una medida de controlarlas
Se las toma en cuenta en los estudios de confiabilidad (PFDavg, PFH)
2
0
Fallas de Causa Común en el Hardware
Son fallas que resultan de eventos
que afectan de forma simultánea
a varios componentes del
hardware, llevando a un estado
de falla general
2
1
Ejemplos de Diversidad
Equipamiento ‣ Diseño diverso
Level Gauge
diverso
Level
Transmitte
r
2
2
Resumen de fallas aleatorias y de causa
común
Cuando la tasa de las fallas aleatorias pueda ser definida, será posible calcular la
probabilidad de que la función falle por causa de ellas
La probabilidad de que la función falle en demanda (PFD), nos permite calcular el factor de
reducción de riesgo de la función (FRR = 1/PFD)
Del mismo modo, cuando las fallas de causa común tengan tasas que puedan ser estimadas, nos
permitirá incluirlas en los cálculos de confiabilidad de la función
La probabilidad de que la función falle en forma segura (PFS), nos permite calcular el factor de
reducción de un disparo espurio (FRS = 1/PFS)
Para reducir la probabilidad de fallas aleatorias de usa equipo más confiable
Para reducir la probabilidad de las fallas de causa común se usa diversidad
A menor probabilidad de tener fallas peligrosas aleatorias y de causa común, mayor SIL
A menor probabilidad de tener fallas seguras aleatorias y de causa común, mayor STL
El SIL y el STL de una SIF deben estar equilibrados, para que la función, al mismo tiempo, sea
segura y no afecte la productividad
2
3
Fallas Sistemáticas
Son fallas ocultas en el diseño o en la
implementación de hardware o de software
En cuanto aparecen se propagan en el ciclo
de vida afectando
Especificaciones de diseño del sistema
Manual del Usuario
Procedimientos
En los SIS con controladores programables las
fallas sistemáticas en el software son
difíciles de evitar
2
4
Fallas Sistemáticas
2
5
Frecuencia de las Fallas Sistemáticas
Análisis de 34 Incidentes, basado en 56 causas identificadas
Out of control
Why control systems go wrong and how to prevent failure?
(2nd edition, source: © Health & Safety Executive HSE – UK)
2
6
Resumen de fallas sistemáticas
2
7
Acerca de Sub-sistemas y Componentes
2
Copyright © 2002 - 2016 Risknowlogy®. All rights reserved.
8
Des-energizar o Energizar para Disparar
2
9
Redundancia
Qué es redundancia?
El uso de múltiples elementos o sistemas para conseguir la misma (o PARTE DE la
misma) función de seguridad
Cómo puede conseguirse la redundancia
Por igual hardware y/o software o
Por diversidad de hardware y/o software
No ayuda necesariamente contra las fallas de causa común y no ayuda contra
las fallas sistemáticas
3
0
Diversidad
Qué es diversidad?
Existencia de diferentes medios para ejecutar la misma (o PARTE DE la misma)
función de seguridad
Puede conseguirse por
Diferentes métodos físicos
Diferentes filosofías de diseño
Es una medida contra las fallas de causa común y sistemáticas, pero no
necesariamente ayuda contra todas ellas
3
1
Votación
3
2
Hardware Fault Tolerance (HFT)
Una “hardware fault tolerance” X significa que (X+1) fallas peligrosas pueden
causar la pérdida de la función de seguridad
Por eso cuanto mayor sea el requerimiento de seguridad, la FS tendrá más
componentes que provean la misma función (más redundancia)
HFT es fácil de calcular
HFT = N - M
Para cualquier sistema MooN
Por ejemplo, la HFT de un sistema 2oo3 es: 3 - 2 = 1
3
3
Tolerancia a disparos espurios
3
4
Sub-sistemas Tipo A
Un sub-sistema es Tipo A si
Los modos de falla están bien definidos Y
La conducta durante una falla puede ser determinada completamente Y
Se hallan disponibles suficientes datos de falla
3
5
Sub-sistemas Tipo B
Un sub-sistema es Tipo B
Si uno o más modos de falla no están bien definidos, O
Si la conducta ante una falla no puede ser completamente definida, O
Si los datos de falla disponibles no son suficientes
Si tiene algún circuito integrado puede estar 99.9% seguro de que es Tipo B
3
6
Aptitud SIL de un sub-sistema según el
Tipo
3
7