CORTE 3:

Diseñemos Funciones
Instrumentadas de Seguridad!
Asignatura Electiva: Introducción a los Sistemas Instrumentados de
Seguridad (SIS)

TECNOLÓGICO COMFENALCO – CARTAGENA

2019
Las Funciones de Control y de Seguridad
 Los sistemas de control y de seguridad desarrollan funciones
 Se las llama funciones porque
 DETECTAN un EVENTO
 ACTÚAN para evitar una CONSECUENCIA

‣ Estas funciones podrán ser consideradas IPL (ver características de una IPL)

‣ Para un escenario de riesgo se podrán usar una o varias funciones como IPL
‣ Se podrán usar varias funciones si éstas son ejecutadas en sistemas diferentes
‣ BPCS + SIS de prevención + SIS de mitigación
‣ No se podrá usar más de una función de un sistema para un mismo escenario

2
Las Funciones de Seguridad (FS)

 Una FS es toda función a ser implementada en cualquier sistema de seguridad

(eléctrico, electrónico, electrónico-programable o de otra tecnología)
destinada a conseguir y/o mantener el estado seguro del equipo bajo control
y/o del proceso

3
Las funciones de seguridad de los
dispositivos
 Las FS son inherentes a todo dispositivo de seguridad
 Un relé “detecta” que se le ha quitado la energía eléctrica y “actúa” cerrando y
abriendo sus contactos para reducir el riesgo consecuente con esta falta de energía
 Un controlador de seguridad “detecta” por medio de detectores conectados a él y
“actúa” por medio de actuadores conectados a él
 Una válvula “detecta” una causa para actuar y “actúa” cerrándose o abriéndose para
reducir el riesgo

‣ Al ser combinados entre sí, estos dispositivos de seguridad formarán sub-sistemas

‣ Los sub-sistemas combinados formarán Funciones Instrumentadas de Seguridad (SIF)
‣ Una SIF tendrá un sub-sistema de detección, un sub-sistema de control (o de lógica) y un
subsistema de actuación

‣ El conjunto de las SIF y sus sub-sistemas conforman un Sistema Instrumentado de Seguridad

(SIS)

4
Función Instrumentada de Seguridad
(SIF)
Actuador

Sensor

Logic Solver

 Una Función Instrumentada de Seguridad es una “cadena de seguridad” que provee un

apropiado FRR por medio de “eslabones” de hardware y de software:
 Sub-sistema Sensor que detecta la condición o evento peligroso
 Sub-sistema Actuador que permite llevar el proceso a condición segura
 Sub-sistema Logic Solver que provee la adecuada Secuencia de Lógica (reacción ante el
evento peligroso), los necesarios Diagnósticos de fallas y un Tiempo de Ejecución
apropiado (que deberá ser menor que el Tiempo de Seguridad del Proceso)
5
Sub-sistemas de una SIF en un SIS

Sub-sistemas de un SIS

#1 #2 #3 #4 #5 #6

6
Fallas en las Funciones de Seguridad

7 Copyright © 2002 - 2016 Risknowlogy®. All rights reserved.

Fallas y Seguridad
 Como ya dijimos, la seguridad funcional tiene que ver con poder controlar y evitar
las fallas en las funciones de seguridad
 Existen tres tipos de fallas que pueden afectar a las funciones de seguridad
 Fallas aleatorias del hardware
 Fallas de causa común en el hardware
 Fallas sistemáticas en el hardware y en el software

‣ Cualquiera de estas fallas pondrá a la función de seguridad en un estado específico de falla:

‣ Seguro (falla segura o espuria, que produce el disparo de la función)
‣ Peligroso (falla peligrosa, que impide el disparo de la función)
‣ Intermedio (falla que no es ni segura ni peligrosa, todavía...)

8
Función de Seguridad vs. Estado del
Proceso
Función de
Proceso
Seguridad
Ok Está disponible y seguro
Seguro (S) Se ha detenido por disparo de la
(en falla segura) función de seguridad
Peligroso (D) Está disponible pero no está
(en falla peligrosa) protegido/a

Está disponible pero es hora de

Intermedio (I)
reparar la función de seguridad

9
Fallas Aleatorias del Hardware

 Son fallas espontáneas que pueden ocurrir en cualquier momento y en

cualquier componente de hardware
 Sabemos que van a aparecer, pero no sabemos cuándo
 Si son permanentes, existen hasta ser reparadas
 Si son dinámicas, existen sólo bajo ciertas circunstancias
 Pueden ser caracterizadas por su frecuencia de aparición (en forma
estadística):
 λ (tasa de fallas)
 λ puede ser constante o variable en función del tiempo

1
0
Fallas Aleatorias del Hardware
 El equipamiento utilizado en
sistemas de seguridad tiene que
tener tasa de fallas constante ( λ
= cte )
 El fabricante debe definir el
tiempo de servicio del
componente durante el cual esta
premisa se cumple

 Cuando la tasa de fallas es

constante, la PF se puede calcular
en forma sencilla:
 PF = 1 - e-λt
 PF = -λt cuando λt << 1

1
1
Modos de Falla Aleatoria
 Las fallas aleatorias se pueden dividir
en:
NE
 Fallas Seguras (S) NP DU
 Fallas Peligrosas (D)
 Fallas que no afectan a la seguridad
SU
 A su vez, las fallas seguras y peligrosas
se pueden dividir en: DD
 Fallas Detectadas (SD, DD) SD
 Se descubren por medio de diagnósticos
internos (autodiagnóstico)

 Fallas No Detectadas (SU, DU)

 Se descubren por medio de pruebas
manuales (proof tests)

1
2
Modos de Falla Aleatoria
 La Fracción de Falla Segura (SFF), es el
porcentaje de todas las fallas que llevan
a un estado seguro NE
 Es una medida de la efectividad del
NP DU
diseño “failsafe” y/o de los
diagnósticos incorporados (ver
Descubriendo Fallas) SU
 Es un parámetro de diseño, no un
parámetro operacional DD
 La SFF se usa para determinar las SD
restricciones de arquitectura de un
subsistema (ver Diseño de Hardware)
 Su valor se puede calcular a partir de las
tasas de falla: SFF
 SFF = (SD+DD+SU) / (SD+DD+SU+DU)

1
3
Probabilidades de Falla en Demanda y
Segura
 Una vez que obtengamos todos los valores relacionados con las fallas
aleatorias de un componente o sub-sistema, seremos capaces de calcular las
probabilidades de que éste falle
 Cuando falle en forma peligrosa, diremos que está fallando “en demanda”,
porque no será capaz de funcionar cuando su acción sea requerida:
 PFD = Probabilidad de Falla en Demanda
 La PFD es el valor que define el FRR de la función y, por lo tanto, es el valor que
determinará el SIL que la función podrá alcanzar (sólo desde el punto de vista de
las fallas aleatorias del hardware)
 Cuando el elemento falle en forma segura, se ejecutará su acción protectora
sin necesidad, por eso diremos que la falla es espuria o segura
 PFS = Probabilidad de Falla Segura (o espuria)

1
4
Probabilidad de Falla en Demanda del
Subsistema
 La PFD depende generalmente de la suma de todas las tasas de fallas peligrosas.
 Cuando el autodiagnóstico haga que las fallas DD disparen la acción protectora, la tasa de
éstas ya no formará parte de la PFD. En ese caso, la PFD sólo dependerá de la tasa de las
fallas peligrosas no detectadas
 Como la única forma de descubrir las fallas DU es realizar pruebas de comprobación, la
PFD también dependerá del intervalo entre esas pruebas (PTI). Ver Descubriendo Fallas
 La PFD es considerada entonces como un valor medio en ese intervalo

PFD = f (DU, PTI)

PFD = Probability of Failure on Demand

DU = Failure Rate Dangerous Undetected
PTI = Proof Test Interval

1
5
Probabilidad de Falla Segura del
Subsistema
 La PFS dependerá de la suma de la tasa de fallas seguras (S) y de la tasa de fallas
peligrosas detectadas (DD), considerando que el autodiagnóstico hará que las
últimas actúen como si fueran seguras
 La PFS también dependerá también, entonces, del intervalo entre esas pruebas de
auto-diagnóstico (DTI). Ver Descubriendo Fallas

PFS = f (SD, SU, DD, DTI)

PFS = Probability of Safe Failure

SU = Failure Rate Safe Undetected
SD = Failure Rate Safe Detected
DD = Failure Rate Dangerous Detected
DTI = Diagnostics Test Interval

1
6
PFD de la Función de Seguridad

 En una SIF, cualquier falla peligrosa en uno de sus sub-sistemas (el de

detección, el de lógica, el del actuador), hará que la seguridad se pierda
 Dicho de otra forma, la PFD de la SIF será igual a la suma de las PFDs de cada
sub-sistema
 PFD = PFDD + PFDL + PFDA
 La PFD total deberá estar dentro del SIL Objetivo determinado para la función
 Un cierto SIL implica que una cierta PFD debería ser alcanzada, pero una cierta
PFD no significa que ese SIL será alcanzado
 Para alcanzar el SIL, las fallas sistemáticas también tienen que corresponder a ese
nivel

1
7
Probabilidad de Falla en Demanda de la
SIF
 Relación entre la PFD, el FRR y el SIL

1
8
Evolución de la PFD con PTI = 1 año

SIL 1

SIL 2

1
9
Fallas de Causa Común en el Hardware
 Definición:
 Fallas simultáneas o coincidentes de dos o más canales separados, en un sistema de
canales múltiples, y que llevan a éste a una falla del sistema.
 En seguridad Funcional
 Se usa diversidad como una medida de controlarlas
 Se las toma en cuenta en los estudios de confiabilidad (PFDavg, PFH)

2
0
Fallas de Causa Común en el Hardware
 Son fallas que resultan de eventos
que afectan de forma simultánea
a varios componentes del
hardware, llevando a un estado
de falla general

 Estos eventos se relacionan con

acontecimientos ambientales
(calor, emisión electromagnética,
caída de rayos, inundación, etc)

2
1
Ejemplos de Diversidad
 Equipamiento ‣ Diseño diverso
Level Gauge
diverso

Level
Transmitte
r

2
2
Resumen de fallas aleatorias y de causa
común
 Cuando la tasa de las fallas aleatorias pueda ser definida, será posible calcular la
probabilidad de que la función falle por causa de ellas
 La probabilidad de que la función falle en demanda (PFD), nos permite calcular el factor de
reducción de riesgo de la función (FRR = 1/PFD)
 Del mismo modo, cuando las fallas de causa común tengan tasas que puedan ser estimadas, nos
permitirá incluirlas en los cálculos de confiabilidad de la función
 La probabilidad de que la función falle en forma segura (PFS), nos permite calcular el factor de
reducción de un disparo espurio (FRS = 1/PFS)
 Para reducir la probabilidad de fallas aleatorias de usa equipo más confiable
 Para reducir la probabilidad de las fallas de causa común se usa diversidad
 A menor probabilidad de tener fallas peligrosas aleatorias y de causa común, mayor SIL
 A menor probabilidad de tener fallas seguras aleatorias y de causa común, mayor STL
 El SIL y el STL de una SIF deben estar equilibrados, para que la función, al mismo tiempo, sea
segura y no afecte la productividad

2
3
Fallas Sistemáticas
 Son fallas ocultas en el diseño o en la
implementación de hardware o de software
 En cuanto aparecen se propagan en el ciclo
de vida afectando
 Especificaciones de diseño del sistema
 Manual del Usuario
 Procedimientos
 En los SIS con controladores programables las
fallas sistemáticas en el software son
difíciles de evitar

2
4
Fallas Sistemáticas

2
5
Frecuencia de las Fallas Sistemáticas
Análisis de 34 Incidentes, basado en 56 causas identificadas

Out of control
Why control systems go wrong and how to prevent failure?
(2nd edition, source: © Health & Safety Executive HSE – UK)

2
6
Resumen de fallas sistemáticas

 Conocer las fallas sistemáticas (tanto en el hardware como en el software y

en los procedimientos) hará que podamos terminar de comprobar la
confiabilidad de la función
 Cuanto menor sea la cantidad de (o la posibilidad de tener) fallas sistemáticas,
mayor será la confiabilidad que podrá alcanzar la función
 A menor cantidad de (o posibilidad de tener) fallas sistemáticas, mayor SIL
 Conocer y lograr evitar las fallas sistemáticas no es fácil
 Las normas de Seguridad Funcional proponen la utilización de un Ciclo de Vida

2
7
Acerca de Sub-sistemas y Componentes

2
Copyright © 2002 - 2016 Risknowlogy®. All rights reserved.
8
Des-energizar o Energizar para Disparar

 Un sub-sistema “des-energizar para disparar” no necesita energía para

ejecutar su función de seguridad
 Sobre la base del así llamado “principio de diseño fail-safe”
 Un sub-sistema “energizar para disparar” necesita energía para ejecutar su
función de seguridad
 Éste no es fail-safe

2
9
Redundancia

 Qué es redundancia?
 El uso de múltiples elementos o sistemas para conseguir la misma (o PARTE DE la
misma) función de seguridad
 Cómo puede conseguirse la redundancia
 Por igual hardware y/o software o
 Por diversidad de hardware y/o software
 No ayuda necesariamente contra las fallas de causa común y no ayuda contra
las fallas sistemáticas

3
0
Diversidad

 Qué es diversidad?
 Existencia de diferentes medios para ejecutar la misma (o PARTE DE la misma)
función de seguridad
 Puede conseguirse por
 Diferentes métodos físicos
 Diferentes filosofías de diseño
 Es una medida contra las fallas de causa común y sistemáticas, pero no
necesariamente ayuda contra todas ellas

3
1
Votación

 Se define la votación como

 El número de caminos independientes (M) requeridos dentro del total de caminos
existentes (N) a fin de poder ejecutar la función de seguridad
 La votación se expresa normalmente como MooN
 M expresa el número de votación
 N expresa el número de caminos independientes
 Por ejemplo 1oo2, 2oo3, 2oo4, etc.

3
2
Hardware Fault Tolerance (HFT)

 Una “hardware fault tolerance” X significa que (X+1) fallas peligrosas pueden
causar la pérdida de la función de seguridad
 Por eso cuanto mayor sea el requerimiento de seguridad, la FS tendrá más
componentes que provean la misma función (más redundancia)
 HFT es fácil de calcular
 HFT = N - M
 Para cualquier sistema MooN
 Por ejemplo, la HFT de un sistema 2oo3 es: 3 - 2 = 1

3
3
Tolerancia a disparos espurios

 Una “tolerancia a disparos espurios” (llamémosla TDS) de valor A, significa

que (A+1) fallas espurias causarán el disparo de la función de seguridad
 Cuando el disparo espurio pueda llevar a una situación de riesgo o, cuanto mayor
sea el requerimiento de productividad, la FS tendrá más componentes
(redundancia) que puedan evitar el disparo en falso de la función
 Una TDS > 0 es usada generalmente en procesos
 TDS es un término desarrollado por Risknowlogy
 La TDS es fácil de calcular
 TDS = M – 1
 Para cualquier sistema MooN,
 Por ejemplo, la TDS de un sistema 2oo3 es
 M–1=2–1=1

3
4
Sub-sistemas Tipo A

 Un sub-sistema es Tipo A si
 Los modos de falla están bien definidos Y
 La conducta durante una falla puede ser determinada completamente Y
 Se hallan disponibles suficientes datos de falla

3
5
Sub-sistemas Tipo B

 Un sub-sistema es Tipo B
 Si uno o más modos de falla no están bien definidos, O
 Si la conducta ante una falla no puede ser completamente definida, O
 Si los datos de falla disponibles no son suficientes
 Si tiene algún circuito integrado puede estar 99.9% seguro de que es Tipo B

3
6
Aptitud SIL de un sub-sistema según el
Tipo

Ref. IEC 61508-2

3
7