Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas Instrumentados de Seguridad-Tesis 2012-España
Sistemas Instrumentados de Seguridad-Tesis 2012-España
1
Índice Sistemas Instrumentados de Seguridad
Índice
1 INTRODUCCIÓN 8
2 ALCANCE 13
3 NORMATIVA Y ESTÁNDARES 15
3.2 ANSI/ISA-S84.01-1996 20
4 ABREVIACIONES 23
5 CONCEPTOS Y DEFINICIONES 25
5.10 Comisionamiento 34
5.14 Daño 35
5.16 Demanda 35
2
Índice Sistemas Instrumentados de Seguridad
5.18 Desmantelamiento 35
5.22 Dispositivos 36
5.23 Diversidad 36
5.26 Error 37
5.30 Fallo 37
3
Índice Sistemas Instrumentados de Seguridad
5.50 MTTF 42
5.51 MTTR 42
5.52 MTBF 42
5.61 Sensor. 44
5.68 Validación. 45
5.69 Verificación. 46
8 ANEXOS 236
8.1 ANEXO A: Vista general del ciclo de vida (IEC 61511) 236
6
Índice Sistemas Instrumentados de Seguridad
8.7 ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de Seguridad (SIF)
244
8.7.1 SRS: SIF Nº 1: 244
8.7.2 SRS: SIF Nº 2: 244
7
Introducción Sistemas Instrumentados de Seguridad
1 Introducción
La seguridad en las plantas es la mayor preocupación en la industria de procesos
“Safety first 1”. Plantas químicas, petroquímicas, de refino del petróleo, etc., necesitan
implementar soluciones para resolver este problema. Como veremos más adelante un
sistema instrumentado de seguridad (SIS), también referido como sistema de paro de
emergencia (ESD 2) se instala en un proceso industrial para prevenir situaciones de riesgo
por descontrol del proceso que puede llevar a una situación de peligro, reduciendo el riesgo
que puede llegar a ser peligroso a un riesgo tolerable, reduciendo la frecuencia de
incidentes y accidentes no deseados, parando el proceso antes de que se produzca el
posible accidente. Por tanto, el propósito final del SIS es llevar el proceso y/o equipos
específicos del proceso a un estado seguro mediante instrumentación y control. La cantidad
de reducción de riesgo que el SIS debe proporcionar viene representada por su nivel de
integridad de seguridad (SIL), que se define como un rango de probabilidad de fallo en
demanda.
Por otro lado, también existe la posibilidad de que algún elemento del sistema de
seguridad falle y nos lleve el proceso a un estado seguro sin que se haya producido ningún
evento peligroso, es lo que se conoce como paros en falso (spurious trips), estos también
han de ser considerados a la hora de aplicar un sistema de seguridad.
Por esta razón se ha de asegurar en el diseño de un sistema instrumentado de
seguridad que cumpla con dos premisas claves, seguridad y disponibilidad en el proceso.
Las instalaciones industriales almacenan, procesan, y generan sustancias peligrosas,
que tienen asociado un determinado nivel de riesgo dependiendo de la posibilidad que
exista de provocar consecuencias adversas sobre receptores vulnerables (personas, bienes
materiales y medio ambiente) como resultado de efectos no deseados (térmicos, físicos y
químicos) originados por sucesos incontrolados en sus instalaciones. Un sistema
instrumentado de seguridad percibe una desviación de las condiciones normales de proceso
que pueden llevar a un peligro para la integridad de las personas, medio ambiente y la
propia instalación y es entonces cuando toma la acción para llevar el proceso a un estado
seguro, previniendo un accidente no deseado.
Estos riesgos potenciales exigen que las plantas adopten estrictos criterios de diseño
en las instalaciones y equipos y en la necesidad de implantar medidas de seguridad. Estas
medidas de seguridad se traducen en múltiples capas de protección (figura 1.1) de las
instalaciones.
8
Introducción Sistemas Instrumentados de Seguridad
1 http://en.wikipedia.org/wiki/Flixborough_disaster
10
Introducción Sistemas Instrumentados de Seguridad
1976- Seveso 1, Italia. Pérdida a la atmósfera de una nube de TCP cloro y dioxina
como consecuencia de la fisura de un disco de rotura producido por una reacción
exotérmica incontrolada de 2-4-5-triclorofenol (TCP). Quedaron inservibles más de 4 km a
la redonda de tierras cultivables y el número de heridos y muertos por el escape no fue
informado, pero más de 470 personas fueron atendidas por intoxicación.
Estos dos accidentes dieron origen a una serie de normas y leyes en cuanto a la
seguridad de procesos, por parte de los entes reguladores europeos.
Una fecha clave para el inicio de la reglamentación de los sistemas de seguridad en
Estados Unidos la encontramos en diciembre de 1984, con la explosión y fuga de 24
toneladas de metilisocianato, mientras se realizaban tareas de mantenimiento en una planta
química que Unión Carbide poseía en Bhopal (India), donde oficialmente se habló de 2500
muertos, más de 200000 personas con lesiones, un desastre ecológico incalculable y una
herencia de problemas para las sucesivas generaciones. Desde esta fecha se empezó a crear
normas reglamentarias.
Así en Estados Unidos y Europa (Alemania principalmente) empezaron a nacer
diferentes organizaciones y normas que proporcionaban directrices para sus sistemas de
parada de emergencia.
OHSA 2 en Estados Unidos y paralelamente “Seveso Directive” 3 en Europa, fueron
las primeras normas de regulación que aparecieron, siendo la Directiva Seveso, creada el
24 de junio de 1982, la primera norma de obligado cumplimiento para los países miembros
de la CEE. El 9 de diciembre de 1996 fue sustituida por la Directiva Seveso II, siendo de
obligado cumplimiento a partir del 3 de febrero de 1999, finalmente en 2005 se propugnó
el RD 119/2005 de 4 de febrero, conocido como SEVESO III. Según Seveso III un
accidente grave es cualquier suceso, tal como emisión en forma de fuga o vertido, incendio
o explosión importantes que suponga una situación de grave riesgo, inmediato o diferido,
para personas, bienes y medio ambiente, bien sea en el interior o exterior de la instalación,
y que estén implicadas una o más sustancias peligrosas. La directiva Seveso fue traspuesta
al ordenamiento jurídico español mediante el R.D. 1254/1999, por el que se aprueban las
medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan
sustancias peligrosas, este a su vez es modificado por el R.D. 948/2005.
La directriz básica para la elaboración y homologación de los planes especiales del
sector químico está recogida en el R.D. 1196/2003, en ella se indica las bases y criterios
para la correcta organización de las emergencias derivadas de accidentes, estableciendo los
criterios mínimos de contenidos de los planes de emergencia interior (PEI) y exterior
(PEE).
Una norma de referencia en todo el mundo aunque no de obligado cumplimiento en
España al no estar recogida en la legislación española es la normativa de obligado
cumplimiento en Estados Unidos y perteneciente a OHSA, 29 CFR 1910.119 “Process
safety management of highly hazardous chemicals”.
1 http://es.wikipedia.org/wiki/Desastre_de_Seveso
2 OHSA: Occupational Safety and Health Administration, Administración de Seguridad y Salud
Ocupacional emitida por el Departamento de Trabajo de los Estados Unidos.
3Seveso Directive I and II se trata de una recopilación de leyes editada por la Comisión Europea de
medio ambiente encaminadas a la prevención y control de accidentes químicos.
11
Introducción Sistemas Instrumentados de Seguridad
2 Alcance
El proyecto sitúa una guía de referencia para la realización de un Sistema
Instrumentado de Seguridad, desde la obtención de las especificaciones de requerimientos
de seguridad, la realización de la ingeniería y del diseño, la instalación, y su operación y
mantenimiento, de forma que pueda ser confiable para llevar y mantener el proceso en un
estado seguro. Todo este trabajo ha sido desarrollado de acuerdo a los estándares vigentes
IEC 61511 (Seguridad funcional: SIS para procesos industriales) y la ANSI/ISA S84.01-
2004 (Aplicación de SIS para procesos industriales).
En particular se pretende dar un enfoque para el desarrollo de un sistema
instrumentado de seguridad destacando la importancia que representa la seguridad en
cualquier industria de proceso y en particular en la industria química.
La filosofía de las compañías está cambiando, se adoptan lemas como “la Seguridad
es lo primero”, “sin seguridad no hay producción”, etc. y crean estándares internos de
obligado cumplimiento referentes a seguridad, tanto generales como en particular de
proceso.
Es muy importante que las empresas y todo personal integrado en el proceso de
fabricación, producción, mantenimiento e ingeniería y en particular el personal encargado
del control y automatización estén familiarizadas con los estándares de seguridad
internacionales, conceptos y buenas prácticas que hacen que sus procesos sean seguros a la
vez que confiables y disponibles.
En particular se tratarán los siguientes temas:
• Criterio de Ciclo de vida de seguridad. Definición de actividades que son
necesarias para determinar requerimientos funcionales y de seguridad para toda la
vida del sistema de seguridad.
• Como detallar los requerimientos y especificaciones para lograr un nivel de
seguridad funcional objetivo y quien es el responsable de implementar estos
requerimientos.
• Mostrar que tipo de instrumentos pueden ser integrados en un SIS.
• Relación entre las funciones instrumentadas de seguridad (SIF) y las funciones de
control.
• Como asignar niveles de integridad de seguridad (SIL) a las diferentes funciones
del proceso y como resolver que funciones son las que se convertirán en
funciones instrumentadas de seguridad, después de haber reducido el riesgo
aplicando otros sistemas de reducción de riesgo. Identificar los requerimientos
funcionales y los requerimientos integrados de seguridad para estas funciones
instrumentadas de seguridad.
• Especificación de requerimientos para la arquitectura del sistema y configuración
del hardware, aplicación del software e integración del sistema.
• Implementación de una o más funciones de seguridad para la protección de
personas, máquinas y medio ambiente en general cuando no se ha logrado la
seguridad funcional del lazo.
13
Alcance Sistemas Instrumentados de Seguridad
14
Normativas y Estándares Sistemas Instrumentados de Seguridad
3 Normativa y Estándares
En el pasado las normas de seguridad se desarrollaron para aplicaciones concretas,
para tipos de industria o incluso para un país específico. Como ejemplo encontramos la
ANSI P1.1-1969 es una norma de consenso en la industria emitida por el Instituto Nacional
Americano de Estándares (ANSI) que define los requisitos de seguridad para las fábricas
que producen papel, pulpa y cartón.
El principal problema de este enfoque no global es que en plantas, e incluso
industrias completas, se produce el hecho que han de cumplir diferentes normas de
seguridad que se solapan, y que a menudo han sido desarrolladas con filosofías de diseño y
arquitectura completamente diferentes. A esto hay que sumar las diferencias entre normas
nacionales y regionales. Por lo que es prácticamente imposible estar seguro de que se ha
cumplido con las normativas vigentes, y se nos plantee la gran pregunta, ¿qué norma cubre
y resuelve nuestra expectativa?
Ante esta complejidad normativa, las compañías usuarias de sistemas instrumentados
de seguridad necesitan definir sus propias normas para facilitar el cumplimiento de los
estándares de seguridad aplicables a sus instalaciones.
Es por lo que se crean asociaciones como IEC (Comisión Electrotécnica
Internacional) que desarrollan normas y estándares para que las empresas usuarias se
puedan proveer, dentro de un marco normalizado, de procedimientos y prácticas
recomendadas. Así se crea, en el marco de la seguridad funcional de sistemas
instrumentados de seguridad en la industria de proceso, la IEC 61511 y para la seguridad
funcional de los equipos eléctricos/electrónicos dedicados a seguridad la IEC61508.
Una razón por lo que las industrias redactan sus propios estándares, guías y prácticas
recomendadas que posteriormente se adoptan y discuten por expertos de los diferentes
estándares internacionales para su inclusión, es evitar la creación de regulaciones
gubernamentales. Si la industria es la responsable de los accidentes, y estos no se regulan
es entonces cuando el gobierno puede intervenir para crear la regulación, con peso de ley.
Es mejor que entidades internacionales expertas y asociaciones de industrias creen sus
propias regulaciones y estándares dentro del marco legal vigente y que finalmente
adquieran categoría de norma, que proceder a una intervención gubernamental.
Las normas de seguridad más recientes se han desarrollado usando el criterio de
reducción de riesgo y en el establecimiento de un grado definido de excelencia operacional
adoptando el concepto de ciclo de vida 1 del proyecto de seguridad.
Para industrias de procesos las normas más relevantes son la IEC 61508, IEC 61511
y ANSI/ISA S84 (2004). Cada una de estas normas define qué se requiere para lograr el
cumplimiento normativo, y en el caso de la IEC 61511 y ANSI/ISA S84, cómo lograr el
cumplimiento por parte de los propietarios y operadores de planta.
1 El concepto ciclo de vida surge tras la publicación en 1995 por parte del Ejecutivo Británico de
Salud y Seguridad (Health and Safety Executive – HSE) de un artículo titulado Fuera de control (Out of
control) donde se discute porqué fallan los sistema y cómo hay que prever los fallos. El artículo analiza las
causas de varios accidentes industriales que se originaron en fallos de sistemas de control. El resultado de
este estudio llevó al desarrollo del concepto “ciclo de vida” de la seguridad funcional y que es definido en
diferentes estándares internacionales de seguridad como la ANSI/ISA S84.01, IEC 61508, IEC 61511.
15
Normativas y Estándares Sistemas Instrumentados de Seguridad
Estas normas internacionales se están utilizando como directrices para demostrar que
en el desarrollo de los sistemas instrumentados de seguridad se han aplicado las “mejores
prácticas de ingeniería”.
Si bien estas normas y directrices no tienen fuerza de ley en la mayoría de los
países 1, sí que ha aumentado la dependencia de los sistemas SIS, obligando a realizar una
metodología que asegure que se alcanza un nivel de riesgo tolerable objetivo, tanto en el
proceso de fabricación de los sistemas y equipos participantes en sistemas instrumentados
de seguridad, como en el diseño y desarrollo, comisionado y puesta en marcha y
mantenimiento del propio sistema de seguridad. Para facilitar y garantizar que las
compañías proveedoras y las propietarias del sistema han cumplido y se han adherido a
estos estándares, existen organizaciones auditoras y certificadoras independientes, TÜV,
FM, Exida y otras, que actúan como terceros y certifican que nuestro sistema cumple
estrictamente con la norma.
1 Las normativas y prácticas recomendadas pueden tener peso de ley pero sólo cuando son
incorporadas por referencia en la ley correspondiente o listada por la Directiva Europea.
16
Normativas y Estándares Sistemas Instrumentados de Seguridad
Este enfoque hizo que la IEC 61511, Functional Safety: Safety Instrumented Systems
for the Process Industry Sector (Seguridad funcional: Sistemas instrumentados de
seguridad para el sector de las industrias de procesos), sea la norma de seguridad que la
mayor parte de las industrias de procesos eligen como estándar para el desarrollo de sus
guías internas propias y documentos internos para la implementación de sus Sistema
Instrumentados de Seguridad. La IEC 61511 es un estándar publicado por la IEC
“International Electrotechnical Comisión” donde se establece una base para el uso de
dispositivos eléctricos y/o electrónicos programables en el diseño de Sistemas
Instrumentados de Seguridad en la industria de proceso. Establece cuales son los pasos en
el ciclo de vida de un SIS desde su concepción hasta su desmantelamiento, y está dirigida
fundamentalmente al diseñador, ejecutor y usuario final de los sistemas de seguridad.
Por tanto la IEC 61511 aplica a los usuarios finales en la industria de procesos.
Está basada en dos conceptos fundamentales: el ciclo de vida de seguridad del SIS y
el nivel integro de seguridad, SIL. Tiene 3 partes:
• Parte 1: Requisitos
• Parte 2: Directrices de aplicación de IEC 61511-parte 1
• Parte 3: Selección del SIL
La IEC 61511 es una norma que incluye y se basa en el concepto ciclo de vida, esto
facilita el uso de otras normas o prácticas basadas en el ciclo de vida. Este modelo de ciclo
de vida de seguridad funcional es usado y recomendado por agencias reguladoras y otros
organismos como:
• La agencia ISO “Organización Internacional de Normas” para la calidad del
producto y servicio.
• HSE “Oficina Ejecutiva de Salud y Seguridad del Reino Unido” para actividades
relacionadas con la seguridad.
17
Normativas y Estándares Sistemas Instrumentados de Seguridad
18
Normativas y Estándares Sistemas Instrumentados de Seguridad
Todas estas actividades permiten cumplir con el requisito central de la norma IEC
61511:
Dependiendo de dónde esté ubicado el SIS, es posible que la conformidad con IEC
61511 o con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir
la norma tiene sentido. El resultado de la IEC 61511 es un riguroso conjunto de prácticas
recomendadas para diseñar, implementar, verificar, operar y mantener sistemas
instrumentados de seguridad robustos y fiables. Es una buena muestra de ayudar a
garantizar la seguridad de la planta y por tanto del entorno social, a la vez que puede
minimizar costos de operación.
El hecho de haber cumplido con la norma, incluso si no es de obligado
cumplimiento, puede ser útil en caso de ocurrir algún incidente de seguridad. Las
investigaciones posteriores a un accidente o vertido de producto al medio ambiente
involucran a agencias gubernamentales que tienen autoridad para abrir una vía de
investigación e imponer sanciones si es preciso, incluso sanciones penales y clausura de
actividades. Entre las preguntas que pueden hacer están:
• ¿Ha ocurrido alguna clase de incidente o accidente en esta compañía
anteriormente?
• ¿Qué procesos proactivos se utilizaron para identificar los riesgos?
• ¿Qué métodos se usaron para cuantificar los riesgos?
• ¿Qué acciones se usaron para mitigar los riesgos?
• ¿Qué proceso se siguió para garantizar que se desplegara la mitigación
adecuadamente?
• ¿Qué procesos están implementados para garantizar que la solución de mitigación
continúe funcionando como se espera?
• Etc.
Las respuestas a estas clases de preguntas son exactamente lo que nos da la
aplicación de la norma IEC 61511. El haber cumplido y seguido la norma IEC 61511
durante todo el ciclo de vida facilitará mucho las investigaciones sobre un hipotético
accidente o incidente y dará un punto de vista objetivo de cómo se realizaba la seguridad
del proceso.
Es muy importante que todas las tareas realizadas durante el ciclo de vida de un
sistema de seguridad estén adecuadamente documentadas. La Cláusula 19 recopila los
requisitos de información que exige la norma IEC61511 con el fin de asegurar de que se
dispone de la documentación necesaria de forma que se puedan realizar las evaluaciones y
validaciones que se requieran.
19
Normativas y Estándares Sistemas Instrumentados de Seguridad
3.2 ANSI/ISA-S84.01-1996
ANSI/ISA-S84.01-1996 “Application of Safety Instrumented Systems for the process
industries”.
Es una norma que ha sido reemplazada por IEC 61508 y IEC 61511 en el 2004
cuando se denominó ANSI/ISA-S84.00.01-2004 (IEC 61511Mod), son normas
equivalentes y ambas con tres partes. Se trata de una norma creada en Estados Unidos en
1996 y que recientemente ha sido armonizada con la IEC 61511, con la excepción que las
instalaciones que actualmente usan la versión de 1996 de S84 continúen haciéndolo
siempre y cuando se determine que el equipo de seguridad se diseñe, se mantenga, se
inspeccione, se pruebe y se opere de una manera segura.
Es una norma de la ANSI “American Nacional Standards Institute” en la que se
establece una base para el diseño de Sistemas Instrumentados de Seguridad en la industria
de proceso, incluyendo tecnología eléctrica, electrónica, y electrónica programable.
Asimismo establece cuales son los pasos en el ciclo de vida de un SIS desde su concepción
hasta su desmontaje. Está dirigida fundamentalmente al personal que participa en el
desarrollo y fabricación de los SIS, en la instalación, en el comisionado y en todas las fases
del ciclo de vida de un sistema de seguridad.
Como se ha comentado en la introducción, hace años y después de un elevado
número de accidentes en las industrias, sobre todo del sector químico, los expertos en
seguridad comenzaron una profunda revisión de las normas de seguridad existentes,
llegando a la conclusión de que estas eran específicas en la industria y no podían
relacionarse entre ellas.
A partir de estos razonamientos se formó el comité ISA SP84. Seguidamente se optó
por usar el modelo Ciclo de Vida basado en rendimiento y como resultado apareció la
ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems for the Process
Industries (Aplicación de sistemas instrumentados de seguridad para las industrias de
procesos).
IEC61508
20
Normativas y Estándares Sistemas Instrumentados de Seguridad
ACLARACIÓN: Las normativas y prácticas recomendadas pueden tener peso de ley pero
sólo cuando son incorporadas por referencia en la ley correspondiente o listada por una
Directiva Europea. Así existe una jerarquía de las guías para la seguridad en procesos
industriales tal que:
• Legislación: Leyes dictadas por las autoridades correspondientes, con carácter
local, estatal o nacional.
• Regulación: Reglas, las cuales tienen peso de ley, a través de la delegación de
autoridad. P.ej. OHSA, Seveso Directive.
• Normativa: Consenso de un grupo de industrias acerca del mínimo nivel de
ingeniería aceptable. P.ej. IEC 61511
• Práctica Recomendada: recomendaciones de un grupo de industrias. P.ej.
Buenas prácticas de una compañía química.
Existen muchas otras normas y estándares aplicables a sistemas de seguridad,
dependiendo del tipo de industria a que aplique así:
NFPA 85: “Boiler and Combustion Systems Hazard Code” 2004. NFPA “National
Fire Protection Assocoation” es una asociación internacional fundada en 1896 que tiene
como objetivo elaborar normativas, estándares y guías de consenso para la reducción del
riesgo de incendios. La norma que más nos afecta en procesos industriales es la NFPA 85
relativa a procurar seguridad en sistemas de combustión y tiene como objetivo la seguridad
de operación y prevención de incendios y explosiones en sistema de combustión, calderas
con múltiples quemadores. NFPA 85 aplicaría a sistemas BMS “Burner Management
Systems”.Existe un gran debate entre las diferencias de un SIS y un BMS, puesto que
ambos son sistemas de protección muy similares con la diferencia que un BMS no trabaja
con niveles de integridad de la seguridad (SIL).
API RP 14C: “Recommended Practice for Design, Installation, and Testing of Basic
Surface Safety Systems for Offshore Production Platforms”. Publicada por el API
21
Normativas y Estándares Sistemas Instrumentados de Seguridad
22
Abreviaciones Sistemas Instrumentados de Seguridad
4 Abreviaciones
ALARP As Low as Reasonable Practicable
ANSI American National Standards Institute
BMS Burner Management System
BPCS Basic Process Control System (ej. PCS, DCS)
CEM Cause Effect Matrix
CCRC Competence Center for Responsability Care
CFSE Certified Functional Safety Expert
DC Diagnostic Coverage
E/E/PES Electrical/Electronic/Programmable Electronic System
EMC Electromagnetic Compatibility
ESD Emergency ShutDown System
FAT Factory Acceptance Testing
FM Factory Mutual
FMEDA Failure Modes, Effects and Diagnostic Analysis
FMS Management of Functional safety
FTA Fault Tree Analysis
F&GS Fire&Gas System
HAZOP HAZard and Operability Studies
HMI Human Machine Interface
IEC Internacional Electrothecnical Comisión
ISA Instrumentation, Systems and Automation Society
LOPA Layer of Protection Analysis
MooN “M” out of “N”
MTBF Mean Time Between Failures
MTTF Mean Time To Fail
PFD Probability of Failure on Demand
PFDavg Average Probability of Failure on Demand
PFS Probability of Failure Spurious
PHA Process Hazard Analysis
P&ID Process & Instrumentation Diagram
PSM Process Safety Management
PST Partial Stroke Test
RRF Risk Reduction Factor. Inverso de PFDavg
23
Abreviaciones Sistemas Instrumentados de Seguridad
24
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5 Conceptos y Definiciones
25
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Por definición el riesgo inherente es el riesgo que existe debido a la naturaleza del
proceso, incluyendo el equipo y sustancias presentes.
Así la evaluación del proceso ayudará a determinar la probabilidad de que ocurra un
evento de riesgo, y la evaluación de las sustancias (tipo y cantidad) ayudará a determinar
las consecuencias del riesgo.
Por ejemplo en un tanque de amoniaco presurizado podemos ver diferentes riesgos
inherentes que pueden llevar a una fuga de amoniaco como la rotura del tanque por un
exceso de presión, fugas en uniones de tubería, fugas en las empaquetaduras de válvulas,
fallos del sistema de control en mantener la presión del tanque. Cada uno de estos riesgos
tiene una probabilidad y las consecuencias dependen de los peligros de exposición del
personal al amoniaco.
26
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
1 OSHA, Occupational Safety and Health Administration, agencia creada por el departamento de
trabajo de EEUU.
2 ACGIH, American Conference of Governmental Industrial Hygienists. Desarrolla, recomienda y
publica los límites máximos de exposición a productos químicos peligrosos.
3 HSE, Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades relacionadas con la
seguridad.
27
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
28
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
29
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Moral: hacer la planta tan segura como sea posible sin importar los costos.
Legal: Cumplir con las regulaciones escritas, sin importar los costos y el nivel real de
riesgos.
Financiera: construir la planta más económica posible y mantener el presupuesto de
operación lo más pequeño posible.
Se ha de buscar el punto donde los tres apartados encajen, por lo que el riesgo al
igual que el beneficio debe ser medido para determinar de manera más inteligente la mejor
opción a seguir ante cualquier situación.
Bibliografía y referencias
[1] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Process Safety Progress, American Institute of Chemical Engineers, 1999 AIChE.
[4] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[5] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[6] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
30
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
31
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Función de
Condiciones de proceso Lo que se tiene que hacer SIL
Seguridad
SIF nº 1 Presión alta Salida accionamiento 1 1
SIF nº 2 Presión alta-alta Salida accionamiento 1 + 2 3
Por tanto el PFD de todo el lazo estará formado por el PFD de todos sus
componentes de la SIF, así podremos determinar el SIL de cada función instrumentada de
seguridad, es decir la siguiente SIF nº1 (figura 5.3.2):
PFDSIF 1 = PFDFV −101 + PFDPT −101 + PFDPLC _ SEGURIDAD + PFDOTROS _ ELEMENTOS _ LAZO (2)
Figura 5.3.3 Aplicaciones de SIS por tipo de industria y por tipo de equipo.
Bibliografía y referencias
[1] Seminario: Descripción general de la Seguridad. EMERSON Process Management, Tarragona, Junio
2006.
33
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.10 Comisionamiento
Verificación y confirmación de que el SIS ha sido instalado y cumple con las
características especificadas en la documentación del diseño detallado y se encuentra listo
para las pruebas de pre-arranque. Son las pruebas de aceptación en sitio (SAT).
34
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.14 Daño
Lesión física o perjuicio a la salud de la población directa o indirectamente como
resultado de daño a la propiedad o al medio ambiente.
5.16 Demanda
Una condición o evento que requiere que el SIS lleve a cabo una acción apropiada
para prevenir un evento peligroso, o para mitigar sus consecuencias.
5.18 Desmantelamiento
O descomisionado. Es la anulación por completo de un SIS de su servicio activo, y
una de las partes del ciclo de vida de seguridad.
35
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.22 Dispositivos
Unidad funcional de hardware, software, o ambas, capaz de cumplir un objetivo
específico. Por ejemplo dispositivos de campo; equipos conectados en los terminales
input/output de campo de un SIS. Estos incluyen cableado, sensores, elementos finales de
control, sistemas programables (PLC’s), y cualquier dispositivo interface operador
cableado a un SIS.
5.23 Diversidad
Uso de dispositivos y equipos con diferentes tecnologías y métodos de diseño que
desempeñan una función de seguridad común, de manera que minimizan las fallos de causa
común.
36
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.26 Error
Discrepancia entre el valor observado, medido o procesado y el valor verdadero,
especificado o teóricamente correcto.
5.30 Fallo
Condición no normal que puede causar una reducción o pérdida de la capacidad de
una unidad funcional para realizar su función requerida.
37
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
40
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Tabla 5.50.1: IEC 61511. Nivel integro de seguridad (SIL) probabilidad de fallo en demanda
41
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
Tabla 5.50.2: IEC 61511. Nivel integro de seguridad (SIL) Frecuencia de fallos peligrosos del SIF
5.50 MTTF
Mean Time to Fail. Tiempo medio para fallos. También podemos encontrarlos con
los añadidos “peligroso” MTTFD y “falso” MTTFspurious. Fallos peligrosos son típicamente
los de tipo pasivo o no revelado, no detectados. En falso se refiere a aquellos que disparan
una activación innecesaria del sistema y se asocian a un fallo activo, revelado o detectado
de un elemento del sistema. Un tiempo medio de disparo en falso es el tiempo medio para
que presente un fallo el SIS en un paro en falso del proceso o del equipo bajo control.
MTTF se usa para determinar la disponibilidad del sistema. λ es la tasa de fallos.
MTTF = 1 / λ (6)
5.51 MTTR
Mean Time to Repair. Es el tiempo medio necesario para la reparación de un módulo
o elemento de un SIS. El tiempo medio es medido desde que ocurre el fallo hasta que la
reparación es completa incluyendo la puesta en servicio del dispositivo.
5.52 MTBF
Mean Time between fail. Tiempo medio entre fallos teniendo en cuenta el tiempo
medio de un ciclo de fallo más la reposición del equipo. Aplica solo a sistemas que son
reparables.
MTBF = MTTF + MTTR (7)
42
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
43
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.61 Sensor.
Dispositivo o combinación de dispositivos que miden condiciones y variables de
proceso y transmiten la información al sistema de control (p.ej. transmisores,
transductores, interruptores de posición, termopares, sondas de pH, etc.).
44
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
nos dará la tasa de fallo promedio que es más o menos la tasa constante durante la vida útil
del equipo.
5.68 Validación.
Actividad por medio de revisión y suministro de evidencia objetiva que los
requerimientos particulares para un uso particular y específico son totalmente cumplidos.
Esta actividad demuestra que todas las funciones instrumentadas de seguridad y todos los
sistemas instrumentados de seguridad a considerar después de su instalación cumplen en
todo con la especificación de los requerimientos de seguridad. Se realizan unas pruebas de
aceptación en el sitio (SAT) y un test de seguridad antes de arrancar (Pre-Startup
Acceptance Test (PSAT)).
45
Conceptos y Definiciones Sistemas Instrumentados de Seguridad
5.69 Verificación.
Confirmación por medio de revisión y suministro de evidencia objetiva del
cumplimiento total de los requerimientos. Con esta actividad se ha de demostrar para cada
fase del ciclo de vida de seguridad por medio de análisis y tests, que, para específicas
entradas (inputs), las salidas (outputs) se ajustan en todo respecto a los objetivos y
requerimientos puestos por la fase en cuestión.
La verificación de actividades incluye:
• Revisiones de salida de cada fase del ciclo de vida para asegurar el cumplimiento
con los objetivos y requerimientos de la fase a teniendo en cuenta las entradas
específicas de cada fase.
• Revisiones de diseño.
• Pruebas de funcionamiento en el diseño de productos para asegurar que
funcionan de acuerdo con sus especificaciones.
• Pruebas de integración de funcionamiento, donde diferentes partes de un sistema
son puestas de una manera gradual y realizando pruebas medioambientales para
asegurar que todas las partes del sistema trabajan juntas de la forma especificada.
Bibliografía y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related
Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998
[3] Sistemas Instrumentados de Seguridad. Evolución, diseño y aplicación. Ing. Roberto E. Varela. SRL,
setiembre 2003.
[4] EMERSON Process Management, Plantweb University, courses SIS, 2005.
[5] http://www.tuv.com/es/seguridad_funcional.html
[6] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[7] Fiabilidad y Seguridad: Su aplicación en procesos industriales. Antoni Creus Solé. 2ª edición.
MARCOMBO, 2005.
46
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
47
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
48
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
Responsabilidades de ingeniería
Etapas del ciclo de vida de seguridad 1 y
E&I y aplicación del “principio de
actividades con responsabilidades E&I
cuatro ojos”
Proyecto gestionado por
Personal de la Contratista
compañía externo
a) Revisiones de seguridad y participación en
el proyecto. Ingeniero
• Definición de las funciones instrumentadas líder del
de seguridad requeridas y del nivel SIL Participación de un proyecto
requerido. ingeniero E&I para la y
• Especificación de las SIF. contribución específica Ingeniero
• Aclaración de puntos adicionales resultado de E&I (ME) E&I de la
de un checklist. compañía
• Participar en las diferentes revisiones de (ME)
seguridad.
Diseño
• Desarrollo del realizado
diseño por el por el
b) Especificaciones, diseño básico y de detalle.
ingeniero contratista y
Discusión de los requerimientos. responsable E&I. aprobado
Determinación de redundancia, lazos y (DE) por el
diagramas típicos, selección de los dispositivos ingeniero
• Confirmación por
E&I, concepto de automatización, E&I de la
un segundo
procedimientos para el test funcional, etc. compañía.
ingeniero E&I.
(ME) (DE) y
(ME)
Documentos Documentos
c) Revisión de conformidad
suministrados y entregados
A partir de las evaluaciones de seguridad y del firmados por el por el
diseño básico y de detalle(ver apartados a y Ingeniero E&I de contratista,
b), aprobación por firmas (en cada hoja) de los diseño (DE). Un
Aprobación
siguientes documentos de ingeniería básica y segundo Ingeniero E&I por
Tabla 6.1.3.1: Responsabilidades para las actividades del ciclo de vida de seguridad
equipo este formado por expertos tanto técnicos, como de aplicación y operación de cada
instalación unitaria. La selección del personal que debe realizar la evaluación debe ser la
adecuada para cada unidad de planta. El equipo de evaluación debe incluir como mínimo
un ingeniero sénior no involucrado con el equipo de diseño del proyecto.
Las etapas en el ciclo de vida de seguridad donde se realicen actividades de
valoración y evaluación de seguridad funcional serán identificadas durante la planificación
de seguridad.
Es posible que sea necesario introducir actividades adicionales de evaluación de
seguridad funcional como consecuencia de identificar nuevos peligros/riesgos, por ejemplo
después de una modificación.
1 Figura 7.1.1 Ciclo de vida de seguridad según IEC 61511. Capítulo 7.1.
2 Figura 7.1.3 Ciclo de Vida de Seguridad SIS ejemplo. Capítulo 7.1.
52
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida
53
Gerencia de Seguridad Funcional Sistemas Instrumentados de Seguridad
54
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Años 80:
• Comienzo de uso de PLC’s.
• 1ª generación de Sistemas de seguridad. TMR (Triple Modular
Redundancy) (Ej. Tricon de TRICONEX).
• Se desarrolla el procedimiento HAZOP.
• Sin embargo los accidentes continuaban.
1 Referencia: “Trenes in Process Safety”, Asís Ghosh, ARC Advisory Group, July 2004
55
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Años 90:
• Nacen los PLC’s de seguridad
• 2ª generación de sistemas de seguridad. Emplean un alto nivel de
diagnóstico (D) acoplado a técnicas de votación (1oo2D, 2oo3) para
proveer seguridad y disponibilidad con más tolerancia a fallos y menor
coste que los sistemas de primera generación. Ej. H41q/H51q de HIMA,
FSC de Honeywell, evolución de Tricon de TRICONEX. Sistemas
certificados por TÜV según el estándar IEC 61508 a finales de la década de
los 90.
• Se desarrollan estándares para los PLC’s de seguridad.
• Aparecen las arquitecturas con diagnóstico.
• Se desarrollan metodologías para el análisis cuantitativo de riesgos.
• Se introducen metodologías para la identificación sistemática de riesgos.
Años 2000:
• Equipos certificados para aplicaciones de seguridad (Válvulas,
transmisores, etc.) según IEC 61508.
• Aparece la 3º generación de sistemas de seguridad FMR (Flexible Modular
Redundancy), certificados por TÜV según IEC 61508. Ej. DeltaV SIS de
EMERSON, SIMATIC S7-F/FH de SIEMENS.
• Ofrecen un alto nivel de diagnósticos.
• Alta integración con el DCS.
• Son sistemas altamente modulares y escalables.
• Ofrecen herramientas avanzadas de programación.
• Empiezan a incorporar tecnología de bus de campo.
• Se implantan los procesos basados en el ciclo de vida de seguridad.
• Aplicación de IEC 61511 y ANSI/ISA 84 (2004): Seguridad funcional -
Sistemas instrumentados de seguridad para la industria de procesos.
56
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Desde el inicio del proyecto, se empieza a estudiar la seguridad del proceso. Los
ingenieros de diseño seleccionan los equipos y la tecnología a utilizar en el proceso que
ofrezcan una operación segura. Luego se selecciona el sistema básico de control que
permita operar las variables de proceso dentro de los límites establecidos. Un buen diseño
del sistema básico de control permite una reducción significativa de los riesgos asociados
al proceso. Esta parte trataría el diseño conceptual del proceso, donde se desarrolla la
ingeniería básica y de detalle del proceso, diagramas de instrumentación, P&ID’s, sistema
de control, hojas técnicas de los equipos, forma de operación, etc. Dentro de las capas de
protección del proceso estaríamos hablando de la primera capa de protección (figura 1.1
Capas de protección, capítulo 1 Introducción) (figura 7.3. Capa de protección Control del
proceso)
57
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Algunas veces las variables salen fuera de control y el operador debe tomar la acción
para llevar el proceso a los valores predefinidos y pre-establecidos.
Es en este momento cuando se decide si se debe y es necesario implementar un
sistema integrado de seguridad, que pare el proceso cuando se violen unas condiciones que
hacen que el proceso se vuelva peligroso. Este sistema instrumentado de seguridad es un
sistema de paro y como todas las capas, contribuye a que el riesgo inherente del proceso se
reduzca a un riesgo tolerable. Se trata de la última capa de protección que encontramos en
seguridad funcional, estamos hablando de la capa de protección Sistema Instrumentado de
Seguridad (figura 7.5. Capa de protección Sistema Instrumentado de Seguridad). Si esta
capa de protección también falla o por cualquier razón no es capaz de llevar el proceso a
un estado seguro entran en acción las siguientes capas, que ahora pasan a denominarse de
mitigación, (ver figura 1.1 Capas de protección, capítulo 1 Introducción). Las capas de
mitigación intentan reducir el riesgo cuando el incidente ya se ha producido y son las que
se mencionan a continuación en el orden que entran a actuar:
• Capa de mitigación Fuego y Gas (nivel de seguridad).
• Capa de mitigación Válvulas de seguridad y Discos de ruptura (nivel de
seguridad activa).
• Capa de mitigación Diques y Muros de contención (nivel de seguridad pasivo).
1 La metodología HAZOP nos permite alarmar aquellas variables que se consideran necesarias. Para la
gestión de alarmas existe una guía: EEMUA publicación 191 Alarm Systems - A Guide to Design,
Management and Procurement (1999) y la norma ANSI/ISA-18.2-2009 – Management of Alarm Systems for
the Process Industries. Asimismo existen publicaciones como The Alarm Management Handbook 2nd
Edition. Hill Hollifield and Eddie Habibi, published by PAS, (2010).
58
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografía y referencias:
[1] Sistemas Instrumentados de Seguridad. Evolución, diseño y aplicación. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[2] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
59
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
60
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
La figura 7.1.1 muestra el ciclo de vida de seguridad SIS según la norma IEC 61511
y la figura 7.1.3 muestra un ciclo de vida de seguridad SIS ejemplo.
Donde las etapas 1 hasta 5 están definidas en el capítulo 6.2.2 y son etapas de
evaluación de seguridad recomendadas. El contenido de las cláusulas puede ser consultado
en la norma IEC 61511 Parte 1, de la misma forma que las 11 fases o actividades de que se
compone el ciclo de vida de seguridad según IEC 61511. Cada fase del ciclo de vida la
norma IEC 61511 la define en términos de entradas, salidas y actividades de verificación.
(Ver ANEXO A: Vista general del ciclo de vida (IEC 61511)).
Como vemos el ciclo de vida lo podemos dividir en 3 partes importantes:
• Análisis
• Implementación
• Operación
61
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Las tres fases del Ciclo de Vida de Seguridad Funcional están dirigidas a resolver las
causas de los accidentes identificados en el artículo publicado por el Ejecutivo Británico de
Salud y Seguridad (HSE) (figura 7.2 Causas más comunes de accidentes debido a los SIS.
Capítulo 7). La fase análisis está enfocada a resolver y evitar el 44% de los fallos debido a
errores de especificación, la fase implementación o ejecución está enfocada a resolver el
21% de los accidentes provocados por errores durante el diseño, la implementación y la
puesta en servicio y la fase operación intenta minimizar el 35% de los accidentes caudados
por incorrecta operación o mal mantenimiento, además de por cambios realizados después
de la puesta en marcha del sistema.
El siguiente ciclo de vida de seguridad (Figura 7.1.3), se trata del ciclo de vida que
utiliza el ejemplo real de una organización y como se puede observar difiere bien poco del
ciclo de vida propuesto por la norma IEC 61511, está totalmente basado en esta norma y en
la norma ANSI/ISA S84.01 y las modificaciones más sustanciales las encontramos en que
el ejemplo incluye pasos de revisión en el ciclo de vida de seguridad del proceso (safety
review). En este ciclo de vida propuesto es obligado que los objetivos de todos los pasos de
revisión de seguridad desde 1 a 4 se hayan realizado antes de poner en funcionamiento el
SIS.
Los proyectos deben incluir las actividades que revisan el concepto de seguridad en
el proceso y valora el riesgo asociado con cada peligro potencial. Para aquellos riesgos que
para ser mitigados requieran de un SIS, un valor meta de SIL (Nivel Integrado de
Seguridad o nivel de seguridad exigible a las diferentes funciones de seguridad) ha de ser
establecido para cada SIF (Función Instrumentada de Seguridad). El valor objetivo
propuesto de SIL se identificará durante las revisiones de seguridad y serán usados como
base para el diseño del SIS. Las especificaciones de los requerimientos de seguridad (SRS)
se elaboran combinando los valores deseados de SIL junto con otros requerimientos que
definirán completamente los requisitos de cada SIF. Durante el diseño del proceso, cada
SIF propuesta es evaluada para determinar su probabilidad de fallo en demanda media
(PFDavg). Este PFDavg será recogido en un documento donde se certificará que cumple
con el SIL objetivo demandado. Las siguientes tareas del ciclo de vida van encaminadas
como guía para instalar, testear, operar y mantener el SIS seleccionado.
62
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Todas las subactividades encaminadas a definir el valor objetivo del SIL estarán en
línea con el sistema de ejecución del proyecto existente. El equipo que revisa el proyecto 1
es el responsable de asegurar que todos los aspectos del Ciclo de Vida de Seguridad, antes
del Paso 2 de revisión, se han realizado incluido la determinación del SIL objetivo. El
equipo de revisión de seguridad normalmente consulta o incluye personal especialista de
cada disciplina que considere oportuna como, ingenieros E&I y mecánicos e ingenieros de
sistemas de control para obtener una mejor visión del alcance del proyecto.
Bibliografía y referencias:
[1] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
1 “Team assessement”. Ver capítulo 6.2.2 Evaluación y revisión de las actividades durante el ciclo de
vida.
63
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
[4] Artículo: Herramientas para la gestión automatizada de un SIS en todo su ciclo, Autor: Luis García,
publicado en julio 2005 en la revista Automática e Instrumentación.
64
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
65
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Frecuencia
Nivel del
objetivo
impacto del Consecuencias
tolerable por
evento
año
Menor Impacto inicialmente limitado a un área local del evento con un
potencial para una consecuencia más amplia si no se toman
acciones correctivas. Fugas dentro de barreras de contención
1.0 x 10-3
cuyas consecuencias al ambiente son conocidas (ruido, olores,
impacto visual detectable, derrame externo controlable en un
día)
Severa Es aquella consecuencia que podría causar cualquier lesión o
fatalidad seria en el lugar o fuera de él, o bien un daño a la
propiedad económico tanto dentro (1 M $) como fuera (5 M $). 1.0 x 10-4
Fugas fuera de los límites sine efectos adversos (el derrame
externo se puede controlar en pocos días)
Catastrófico Es aquella consecuencia que es 5 o más veces severa que un
accidente de consecuencias SEVERAS. Fuga fuera de los límites
(Extensiva) 1.0 x 10-5
de contención con efectos adversos (derrame no controlable en
pocos días)
Como podemos ver es un poco ambigua, y queda siempre bajo el criterio de los
responsables de planta el decidir qué tipo de riesgo consideran aceptable y por tanto no
precisa de un SIS. Pero resumiendo, podemos concluir que con la información de la
magnitud de la consecuencia, la probabilidad de que ocurra un evento peligroso y el nivel
de riesgo que puede tolerar la empresa, se determina el uso del SIS.
67
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Como siempre es fundamental tener unos buenos procedimientos para diseño de control,
operación y mantenimiento para realizar un mejor desempeño del sistema de seguridad. El
capítulo 7.3 Asignación del SIL objetivo se presenta de una manera más explícita este
asunto.
detalle muchas veces no quedan bien definido donde está la frontera entre ambos las
compañías en sus estándares suelen referirse a ingeniería y diseño del SIS. De hecho es
como se refiere en la norma IEC61511 en el ciclo de vida (Cláusulas 11 y 12) (figura 7.1.1
Ciclo de vida de Seguridad SIS según IEC 61511. Capítulo 7.1 Ciclo de Vida de
Seguridad).
1 FAT (Factory Acceptance Test). Pruebas funcionales de la programación del SIS antes de su
instalación.
70
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
esta forma nos aseguramos que el diseño conceptual cumplirá con el SIL objetivo y por
tanto con la especificación de requerimientos de seguridad.
El diseño conceptual del SIS y la verificación del SIL objetivo establece los
parámetros para el diseño de detalle del sistema, es un punto clave en el cronograma de
obra del proyecto que requiere aprobación y por tanto un paso o etapa de revisión 1 antes de
continuar con nuevas fases (ver Tabla 6.2.2.1: Implementación de las actividades de
valoración y revisión durante el ciclo de vida. Capítulo 6.2,2).
Si la verificación de la función instrumentada de seguridad muestra que el SIL
requerido no se ha logrado mediante el diseño propuesto, hay que rediseñar alguna o todas
las partes que componen el SIF. Existen varias opciones como:
• Disminuir el requerimiento del SIL mediante la adición de otras capas
independientes de protección.
• Reducir el intervalo de pruebas periódicas, lo cual puede implicar la necesidad de
pruebas en línea y pruebas parciales.
• Escoger equipos con mejores características de seguridad. Menor tasa de fallos,
mejores diagnósticos, etc.
• Cambiar la arquitectura añadiendo redundancia.
La verificación del SIL será tratado de una manera más explícita en el capítulo 7.6
Verificación del Nivel Integrado de Seguridad (SIL).
72
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 Desviación y reestablecimiento.
73
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Una vez terminada la validación del sistema puede ser puesto en operación. Si el SIS
un día opera por una demanda verdadera o falsa, debe efectuarse un análisis para
determinar la causa y si el SIS ha operado según lo previsto.
El personal de operativa y mantenimiento de planta han de conocer y entender cómo
opera el SIS para evitar que se tomen acciones que puedan resultar comprometidas para el
proceso y para el SIS.
Operación y mantenimiento son tratados de manera más explícita en el capítulo 7.9
Operación y Mantenimiento.
Bibliografía y referencias:
[1] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[4] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
74
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Para la elaboración del Informe de Seguridad, el industrial deberá tener en cuenta los
requisitos e información recogidos en la Directriz Básica para la Elaboración y
Homologación de Planes de Especiales del Sector Químico.
Por otra parte, la Dirección General XI de la Comisión Europea ha elaborado una
guía para la preparación del Informe de Seguridad que cumpla con los requisitos de la
Directiva Seveso II.
Como aspectos novedosos que contempla esta guía y que no se encuentran en la
Directriz Básica, se deben destacar los siguientes:
1. Información sobre el sistema de gestión y la organización, con vistas a la
prevención de accidentes graves.
2. Entorno de la industria
• Descripción y análisis de la vulnerabilidad de los elementos sensibles del entorno
de la planta, industria (medio ambiente, servicios públicos, lugares de pública
concurrencia, etc.)
• Identificación y análisis de elementos externos que puedan agravar el riesgo de la
planta, industria (riesgo natural, actividades industriales, transportes de
mercancías peligrosas, etc.)
3. Descripción de la instalación
Descripción de las principales instalaciones, equipos y actividades relevantes desde
el punto de vista de la seguridad de las fuentes de riesgos de accidentes graves, las
condiciones en las que se pueden producir estos accidentes, así como las medidas
preventivas y mitigadoras previstas. Para lo que contará con el estudio de los siguientes
aspectos:
• Estudios de los procesos, operaciones básicas y reacciones químicas que puedan
en una situación no controlada, originar un accidente.
• Ingeniería de procesos y sistemas de seguridad.
• Procedimientos de operación en diferentes fases de la actividad (operación
normal, parada de emergencia, arranque y paro, etc.).
• Diseño e ingeniería de equipos y sistemas que procesan o almacenan sustancias
peligrosas (materiales, pilotajes, estanqueidad, equipos a presión, etc.).
• Sistemas de corrección y tratamiento de residuos y contaminantes, tanto en
operación como en emergencias.
4. Identificación y análisis de los riesgos de accidente y medios preventivos
El alcance del Informe de Seguridad amplía su ámbito en los siguientes aspectos.
• Identificación de fuentes de riesgo de todo tipo:
− En distintas fases de la actividad (diseño, ingeniería, montaje, explotación,
cese de actividad, etc.).
− Fallos o desviaciones en las condiciones normales de proceso.
− Fuentes de riesgo externas.
− Seguridad de la planta (intrusismo, sabotaje, etc.).
76
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
78
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El objetivo que se pretende alcanzar usando estos métodos, está en reconocer las
situaciones peligrosas en actividades en las que se manejan materiales que implican riesgos
con el objetivo de revisar el diseño y establecer medidas correctoras o preventivas y por
otro lado identificar posibles escenarios de accidentes, con el fin de evaluarlos y
cuantificarlos. Un análisis de riesgos, desde el punto de vista de un Sistema Instrumentado
de Seguridad, nos ha de facilitar el identificar las funciones instrumentadas de seguridad
(SIF) y el nivel de integridad de seguridad (SIL) que deben llevar asociado. Una Función
Instrumentada de Seguridad es la acción que un sistema instrumentado de seguridad toma
para llevar un proceso a un estado seguro cuando se enfrenta a un peligro potencial.
Del análisis de riesgos hemos de obtener una descripción de los peligros, de las
funciones de seguridad requeridas, y los riesgos asociados, incluyendo:
• Identificación de eventos que producen una situación de peligro así como los
factores que contribuyen al evento peligroso.
• Consecuencias y probabilidad del evento.
• Condiciones de operación (arranque, situación normal de operación y paro).
• Reducción de riesgo necesaria para alcanzar la seguridad requerida.
• Asignación de las funciones de seguridad a las capas de protección.
• Identificación de las Funciones Instrumentadas de Seguridad (SIF).
Este ejercicio de identificar funciones no es tan fácil como a priori parece.
Afortunadamente un análisis de riesgos y peligros nos dará información suficiente para
determinar las posibles funciones de seguridad y las SIF’s.
La correcta identificación y análisis de riesgos permitirá tener una amplia visión de la
seguridad propia de la instalación y nos permitirá eliminar aquellos puntos de riesgo no
aceptables mediante un proceso iterativo de mejora y evaluación posterior de la
instalación, hasta obtener un nivel aceptable de riesgo. En la figura 7.2.2.2. Evaluación
predictiva del riesgo, se facilita un esquema general en la que se señala la secuencia
normal de identificación y análisis de riesgos.
79
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
80
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Finalmente para cada una de las causas se anotan las consecuencias a que darían lugar, las
salvaguardias propias del sistema y finalmente las recomendaciones o comentarios que
fuesen precisos.
A continuación se indican los términos más usados en la realización del método
HAZOP:
Nodo: Punto específico del proceso (un equipo o una línea) en el que se evalúan
posibles desviaciones del proceso.
Intención: Descripción de cómo se espera que se comporte el proceso en un
determinado nodo.
Desviación: Forma en que las condiciones de proceso se alejan de su
comportamiento esperado.
Parámetro: La variable relevante para la condición del proceso: p.ej. presión,
temperatura, nivel, composición, pH, etc.
Palabra guía: Palabra que representa la desviación de la intención. Las más usuales
son: no, más, menos, diferente de, parte de, inverso, y palabras clave como
demasiado pronto, demasiado tarde, en lugar de, etc.
Causa: La razón o razones por las que podría ocurrir una desviación.
Consecuencias: Los resultados de la desviación en caso de que ocurra.
Salvaguardia: Instrumentos o protecciones del sistema que pueden ayudar a reducir
la frecuencia de ocurrencia de la desviación o a mitigar sus consecuencias. Existen 5
tipos:
1. Medios destinados a detectar la desviación, p.ej. instrumentación de alarmas y
detección o la supervisión por parte de los operadores.
2. Instalaciones que compensan la desviación, p. ej. Sistemas automáticos de
control. Normalmente son una parte integrada dentro del control del proceso.
3. Instalaciones que previenen que ocurra una desviación, p. ej. inertizar un
almacenamiento de productos inflamables.
4. Instalaciones que previenen un agravamiento de la situación como consecuencia
de la desviación, p. ej. disparo de una actividad por medio de enclavamientos
(podemos encontrar los SIS).
5. Instalaciones que alivian al proceso de la desviación peligrosa, p. ej. válvulas de
seguridad (SV’s) y sistemas de alivio.
Recomendación: Actividades identificadas durante el análisis HAZOP para su
seguimiento. Incluye propuestas de modificaciones, mejoras que afectan a sistemas
de control (de señalización o de emergencia), condiciones de diseño de línea y/o
equipos, etc.
Comentarios: Cualquier aclaración a hacer a las recomendaciones o a aspectos
surgidos durante las sesiones HAZOP.
82
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.2.3.1 Procedimiento.
El procedimiento consiste en el estudio sistemático y estructurado de una instalación
equipo por equipo y línea por línea, llevado a cabo por un equipo multidisciplinar
(ingeniería, operación, mantenimiento, seguridad, inspección y otras disciplinas que sean
necesarias) y liderado por un coordinador.
Esto se lleva a cabo mediante la aplicación de una serie de palabras guía (no, más,
menos, parte de, inverso, de otra forma, más de, así como) a un conjunto de parámetros de
proceso como pueden ser, caudal, temperatura, pH, nivel, concentración, presión, etc.
De la combinación de las palabras guía con cada uno de los parámetros se obtienen
las desviaciones frente al comportamiento normal del proceso.
Precisar que el estudio debe comprender todos los estados o modos de
funcionamiento de la Unidad, como operación normal, arranque y parada, por lo que los
nodos deben elegirse de forma que con ellos queden englobados todos los modos de
operación.
Establecidas las desviaciones, se investigan mediante un proceso inductivo las causas
que pueden provocar esa desviación en el nodo en ese modo de operación.
Para esa causa, se investigan deductivamente las consecuencias posibles de la
desviación, así como las salvaguardas que el proceso dispone para evitar la causa o mitigar
las consecuencias, llegando a una de las siguientes posibilidades:
a) Las consecuencias no entrañan riesgo: descartar la consideración de esta
desviación.
b) Las consecuencias entrañan riesgos menores o medianos: consideración de esta
desviación en la etapa siguiente.
c) Las consecuencias entrañan riesgos mayores: consideración de esta desviación en
la etapa siguiente.
Para aquellas consecuencias, que aun disponiendo de salvaguardias impliquen un
riesgo, será necesario adoptar acciones correctoras o recomendaciones que de alguna forma
palien la consecuencia o la causa. Las recomendaciones deben ser consensuadas entre el
grupo de trabajo. El coordinador asignará el estudio de la recomendación a un miembro del
equipo que será el encargado de contestarla e implantarla.
Finalmente, desviaciones, causas, consecuencias, salvaguardias y recomendaciones
deben quedar por escrito en un formato tipo, como se indica en la siguiente figura 7.2.3.1.
Modelo tabla HAZOP.
Esta secuencia operativa deberá repetirse con todas las palabras guía, parámetros y
desviaciones para cada nodo, y finalmente para todos los nodos de la unidad a analizar.
Una secuencia lógica de trabajo o un procedimiento general de HAZOP puede verse
en la figura 7.2.3.2 HAZOP: Procedimiento general.
84
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
• Planificar los días en los que habrá sesiones HAZOP y la duración de las mismas,
informando al Jefe del Proyecto y a los miembros del equipo. Así como el lugar
donde se realizarán las sesiones.
• Estimar el coste del estudio.
• Solicitar al Jefe del Proyecto toda la información necesaria que tendrá que estar
disponible por cada miembro del equipo con suficiente antelación.
Como ya se ha comentado el personal del equipo de trabajo debe estar
cuidadosamente elegido de manera que proporcione el conocimiento y experiencia
apropiados a los objetivos del estudio y al desarrollo del proyecto. Es muy importante que
las personas tengan amplios conocimientos en su campo, aunque no tengan experiencia en
el desarrollo de estudios HAZOP.
Es importante que el equipo no sea excesivamente grande para que sea eficiente
(aunque no siempre ocurra), lo ideal es tener un sólo representante de cada disciplina con
suficientes conocimientos y capaz de tomar decisiones en cada momento. La selección del
grupo de trabajo englobará de 4 a 7 personas.
La composición típica del estudio HAZOP es la siguiente:
• Coordinador del Estudio: generalista con experiencia en el método a emplear, en
seguridad, en proyectos, y sobre todo en conducción de reuniones. Es un
mediador.
• Secretario: persona con un perfil similar al del coordinador y que forma parte del
equipo del coordinador, su cometido es:
− Reunir, ordenar y aportar la documentación de partida que se requiere para el
estudio.
− Documentar el desarrollo de las reuniones, mediante actas.
− Manejar las herramientas informáticas que conducen, guían y auxilian el
método escogido.
− Preparar la información resultante del estudio.
• Representante de Ingeniería de Proceso: con conocimiento profundo y detallado
del proceso, a veces puede ser preciso la presencia del licenciatario del proceso.
• Representantes de Ingeniería de Proyectos involucrado en la ingeniería de detalle
de la unidad. (Mecánica e Instrumentación y Control)
• Ingeniero de Operación: que conozca y tenga experiencia en la operación de la
planta y proceso.
• Especialistas: cuando se requieran, p. ej. expertos en materiales, en medio
ambiente, Ingenieros de Seguridad, Ingenieros supervisores de Mantenimiento,
etc.
Es muy importante la independencia del coordinador del resto del equipo HAZOP
con objeto de garantizar que la técnica es sistemática y rigurosamente aplicada.
86
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
87
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
88
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
partir de aquí se aplicarán las palabras guía y los parámetros establecidos y acordados a
cada nodo, con el propósito de generar desviaciones del proceso sobre todas las variables
posibles.
Así en la siguiente tabla se muestra un ejemplo de un listado de desviaciones que se
aplica comúnmente a todos los HAZOP’s.
Fecha de Emisión Firma del Coordinador Fecha Resolución Firma Responsable VºBº Coordinador
91
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
92
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
De este estudio HAZOP se toman las recomendaciones que deben ser implementadas
en un futuro. Una vez implementadas en una posterior revisión del HAZOP se van
indicando aquellas que ya han sido realizadas añadiendo en las columnas del HAZOP la
columna Status y la columna Realizado (done).
Bibliografía y referencias:
[1] Curso: Análisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril
2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y
Victoriano Macías (INERCO).
[2] Sistemas Instrumentados de Seguridad. Evolución, diseño y aplicación. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[4] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf. published by ISA, 2002.
instalación de sistemas mecánicos de protección u otras alternativas. Si aún con todo esto
sigue habiendo restos de riesgos no tolerables pasaremos a la instalación de un SIS.
Figura 7.3.1.1 Gráfico de Riesgo recogido en el estándar IEC 61508 y correspondencia SIL
94
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El índice SIL se determina con este gráfico valorando cualitativamente los siguientes
cuatro parámetros:
Consecuencia (C): Número promedio de fatalidades que pudieron ocurrir como
resultado del peligro. Se determina calculando el número promedio de personas en el área
de exposición, cuando está ocupada, teniendo en cuenta su vulnerabilidad frente al evento
peligroso.
− C1: Daños mínimos.
− C2: Daños serios/permanente a una o más personas.
− C3: Muerte de varias personas.
− C4: Muerte de muchas personas.
Porcentaje de ocupación (F): Probabilidad de que el área expuesta se encuentre
ocupada. Se determina calculando la fracción de tiempo en la que el área se encuentra
ocupada durante el periodo normal de trabajo.
− F1: Raro o poco expuesto en la zona de riesgo.
− F2. Frecuente o permanente en la zona de riesgo.
Probabilidad de evitar el Peligro (P): Probabilidad de que las personas expuestas
sean capaces de evitar el peligro, sí el sistema de protección falla. P debe ser seleccionada
solo si se proveen de medios independientes para alertar al personal de que el SIS ha
fallado, se proveen de medios independientes para detener el proceso y permitir al personal
dirigirse hacia una zona segura.
− P1: Posible en determinadas circunstancias.
− P2: Casi imposible.
Probabilidad de ocurrencia del evento (W): Número de veces por año que el evento
peligroso pudiera ocurrir, sin el SIS.
− W1: Poco probable.
− W2: Probable.
− W3: Muy probable.
Los valores de C, F, P y W son unos valores corporativos y sin asignación de valores,
no obstante la norma IEC 61511 Parte 3 toma unas referencias y da valores a los
parámetros C, F, P y W con lo que el gráfico de riesgo pasa a denominarse Gráfico de
Riesgo Calibrado y pasando a ser un método semicuantitativo. La siguiente tabla recogida
por la norma IEC 61511 resume las referencias acordadas y que unifican el criterio a la
hora de cuantificar los parámetros.
95
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
96
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Matriz de riesgo 1
La matriz de riesgos es uno de los métodos más utilizados en la asignación del SIL
en industrias de proceso químicas y petroquímicas. La aplicación de esta metodología
consiste en la valoración de la probabilidad de ocurrencia de un accidente y la severidad de
sus consecuencias. Esta metodología está recogida en multitud de estándares,
recomendaciones prácticas y procedimientos internos de compañías. Tanto la normativa
ANSI/ISA S84 como la IEC 61511 parte 3 recogen esta metodología y plantean matrices
de riesgo. La matriz de riesgo utilizada en procesos industriales a menudo incorpora un
tercer eje donde se tiene en cuenta la efectividad de los sistemas de protección (ANSI/ISA
S84) o el número de capas de protección incluyendo el SIS (IEC 61511).
La tabla 7.3.1.1 muestra tres categorías típicas de valorar cualitativamente la
severidad del evento peligroso. Es común encontrar matrices con más de tres categorías.
Severidad Impacto
Inicialmente limitado al área local del evento, con potencial de una consecuencia
Menor mayor si no se toman acciones correctivas. Daños menores en equipos, no paro del
proceso. Perjuicios a personas y medio ambiente temporales.
Daños a equipos. Paro corto del proceso. Perjuicios serios al personal y medio
Seria
ambiente. Puede causar heridas de consideración o daños materiales
Provoca una parada larga del proceso, grandes daños en equipos y consecuencias
Extenso catastróficas al medio ambiente y a las personas. Tiene una severidad 5 veces o más
que la severidad seria
Probabilidad de ocurrencia
Tipos de eventos
Frecuencia/año Clasificación
Eventos como fallos múltiples de diversos instrumentos o válvulas,
múltiples errores humanos en un ambiente libre de estrés, o fallo f < 10-4 Baja
espontáneo de recipientes de proceso.
Eventos como fallos múltiples de instrumentos o válvulas dobles, o
emisiones masivas de productos peligrosos en áreas de 10-4 < f < 10-2 Moderada
carga/descarga
Eventos como fugas, fallos de instrumentos o válvulas
individualmente, errores humanos que resulten en pequeñas f > 10-2 Alta
emisiones de productos peligrosos.
Los valores de las tablas 7.3.1.1 y 7.3.1.2 son proporcionados como guía y están
basados en la información recogida en el libro “Guidelines for Safe Automation of
Chemical Processes” 1 y recogido en la norma IEC 61511 parte 3 anexo C.
La figura 7.3.1.2 Matriz de riesgo según IEC 61511, muestra una matriz que evalúa
el riesgo mediante la combinación de probabilidad de que suceda el evento peligroso y la
severidad de la consecuencia del evento junto con un tercer eje donde se tiene en cuenta la
efectividad de los sistemas de protección (capas de protección), incluido el SIS. En otras
palabras, la matriz se basa en los criterios de la experiencia operacional y el riesgo de la
compañía, la filosofía de diseño, operación y protección de la compañía, y el nivel de
seguridad que la compañía ha establecido como su nivel objetivo de seguridad. Se ha de
tener en cuenta que el sistema básico del control de proceso (BPCS), el sistema de alarmas
y los operadores de planta está incluido en la capa de protección y no deben tenerse en
cuenta para el tercer eje.
1 Guidelines for Safe Automation of Chemical Processes “Guías para la Automatización Segura de los
Procesos Químicos”. New York: American Institute of Chemical Engineers (AlChE), 1993.
98
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
99
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El paso siguiente al análisis de riesgos es seleccionar un índice SIL meta para cada
función instrumentada de seguridad (SIF). Por tanto es en esta fase donde el equipo de
diseño propondrá un SIL para cada SIF identificada para ser implementada en el SIS.
Como herramienta para determinar la clase de riesgo y el índice meta SIL en el sector
químico se utiliza mayoritariamente la matriz de riesgo. Aunque menos utilizado, el
método gráfico de riesgos también suele utilizarse. Durante esta fase se finalizan los
P&ID’s para representar las funciones del sistema básico del control de proceso (BPCS) y
se introducen los cambios en los P&ID’s por aplicación del SIS.
El nivel SIL define el nivel de actuación necesario para alcanzar el objetivo de
seguridad del proceso. El nivel SIL define un rango de probabilidad de fallo en demanda
medio (PFDavg) que la función instrumentada de seguridad debe alcanzar. Como mayor
sea el SIL, mayor será la disponibilidad requerida a la función de seguridad SIF. La
siguiente tabla identifica los PFDavg de cada nivel SIL. El valor inverso del PFD es el
Factor de Reducción de Riesgo (RRF).
Dónde:
RRF = 1 / PFDavg (5)
Disponibilidad de Seguridad = (1 – RRF) x 100 (6)
La prestación de una función de seguridad puede ser mejorada añadiendo
redundancia, disminuyendo el periodo de test de la función, usando diagnósticos de
detección de fallos, etc.
100
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Una vez realizado el HAZOP y analizadas las protecciones que un proceso de una
planta necesita, se ha de distinguir entre las que están claramente relacionadas con las
tareas de seguridad y las que son requeridas por la propia operación de la planta. Por lo
tanto, podemos clasificar las funciones de control de proceso en:
• Funciones de Operación. Se utilizan para la correcta operación de la planta en
su comportamiento normal. Incluye medida, control e histórico de todas las
variables relevantes del proceso. Las funciones básicas de control de proceso se
encuentran trabajando en operación continua o listas para actuar antes de que se
requiera una actuación del SIS. Estas funciones no son el objetivo del SIS.
• Funciones de Monitorización. Este tipo de funciones actúan durante un
momento específico de operación del proceso de una planta cuando una o más
variables salen fuera del rango normal de operación. Estas funciones alertan al
personal de operación con alarmas los fallos permisibles del proceso de la planta,
o inducen a intervenciones manuales o automáticas en el proceso. Estas funciones
no son el objeto del SIS, pero han de estar diseñadas de acuerdo a unas buenas
prácticas de ingeniería y a requerimientos de autoridades legales o regulatorias.
Una guía válida para la gestión de alarmas la encontramos en EEMUA 191:
Alarm systems - a guide to design, management and procurement.
Las funciones de operación y funciones de monitorización están recogidas e
implementadas en lo que llamamos Funciones Básicas del Control de Proceso y son
ejecutadas en el BPCS. No es recomendable que este tipo de funciones se implementen en
un SIS.
• Funciones Instrumentadas de Seguridad. Se usan en el proceso de plantas para
reducir cualquier riesgo que exceda el nivel del riesgo tolerable. Este riesgo
existe sí un daño serio a personas o medio ambiente no puede ser evitado por otro
sistema.
El objetivo de esta clasificación es tener los requerimientos adecuados para cada tipo
de sistema con un coste económico razonable. El coste económico de un lazo de seguridad
es alto, comparado con un lazo básico de control.
Las funciones del SIS tienen una baja tasa de demanda al contrario de las funciones
del BPCS, esto es debido a la baja probabilidad de que un evento peligroso ocurra.
101
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Dónde:
Probabilidad
P0: Ocurre una vez por año o más. Ocurrido un par de veces.
P1: Ocurre una vez cada 10 años. Ocurrido una vez.
P2: Ocurre una vez cada 100 años. Casi ocurre, el accidente se evitó por poco.
P3: Ocurre una vez cada 1000 años. Nunca pasa pero es plausible.
P4: Ocurre menos de una vez cada 10000 años. Razonablemente no es un escenario
creíble.
Severidad
S1: En el lugar: potencial para una o más víctimas.
S2: En el lugar: potencial para uno o más daños o lesiones serias (irreversibles).
S3: En el lugar: potencial para uno o más daños en pérdida de tiempo.
S4: En el lugar: potencial de daños menores.
102
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Clase de
Nivel de Riesgo Medidas de Reducción de Riesgo
riesgo
Extremo, riesgo totalmente
A Cambio en el proceso o diseño
inaceptable
Cambio en el proceso o diseño, o
B Muy grande, riesgo inaceptable adopción de un mecanismo de
protección SIL 3 (PSV, función E&I)
Cambio de proceso o diseño, o
C Grande, riesgo inaceptable adopción de un mecanismo de
protección SIL 2 (PSV, función E&I)
Mecanismo de monitorización de alta
Medio, riesgo aceptable, que debería calidad con pruebas de funcionalidad
D
ser reducido documentadas o procedimiento
administrativo de alta calidad
Bajo, riesgo aceptable, que puede ser Mecanismo de monitorización o
E
reducido procedimiento administrativo
F Muy bajo, riesgo aceptable Ninguna
105
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
de Revisión de Seguridad (Paso 2 Safety Review) según el ciclo de vida de seguridad (ver
figura 7.1.3 Ciclo de Vida de Seguridad ejemplo y figura 7.3.1.3 Fase asignación SIF).
Método LOPA
De entre todas las metodologías para calcular el índice SIL reflejadas en los
estándares y normativas IEC 61511 y ANSI/ISA-84.00.01, el análisis LOPA es la técnica
más exhaustiva por tener un carácter cuantitativo. El método LOPA fue desarrollado por el
American Institute of Chemical Engineers (AIChemE 1993). Esta metodología esta
recogida tanto por la normativa ANSI/ISA-S84 como por la IEC 61511 parte 3.
Como vimos en el primer capítulo de este trabajo y reflejamos en la siguiente figura
7.3.2.1, las capas de protección en una instalación de proceso se dividen en capas de
prevención, destinadas a prevenir el accidente y capas de mitigación, destinadas a reducir
las consecuencias del accidente.
Esta técnica se basa en el análisis objetivo de las distintas capas de protección de que
dispone un proceso, evaluando el riesgo del mismo y comparándolo con el criterio de
riesgo tolerable definido por la propiedad, para decidir si las capas de protección son
adecuadas o si es necesario mejorar las existentes o introducir capas adicionales.
106
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El método arranca con los datos obtenidos en al análisis HAZOP (HAZard and
Operability analysis) y explica, para cada peligro identificado en la documentación, la
causa inicial y las capas de protección que previenen y mitigan el peligro. Esto permite
calcular la cantidad de reducción de riesgo obtenido y analizar la necesidad de reducir aún
más el riesgo. Si se requiere una mayor reducción de riesgo y tiene que ser obtenida a
través de una función instrumentada de seguridad (SIF), este método nos permite
determinar el SIL apropiado de la SIF.
El primer paso requiere determinar un nivel de riesgo tolerable. Un escenario típico
podría ser el que muestra la tabla 7.3.2.1 donde se expresa la probabilidad de que un
accidente provoque una víctima en un año. Tablas similares pueden confeccionarse para
impacto medioambiental, pérdida de producción, daños a equipos, etc.
Máximo riesgo tolerable Riesgo residual Máximo riesgo tolerable Riesgo residual
para operarios para operarios para público para público
10-4 10-6 10-4 10-6
Tabla 7.3.2.2 Probabilidad de riesgo tolerable aceptada y basada en la IEC 61511 Parte 3 Anexo C
107
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Un segundo paso implica determinar la probabilidad del evento inicial de los sucesos
no deseados. Pueden ser eventos externos (p. ej. impactos de rayos) o fallo de una de las
capas (p. ej. Fallo del sistema de control de una válvula). Para valorar estas probabilidades
necesitamos valores numéricos. Normalmente son valores basados en registros históricos o
datos de índice de fallo recogidos en bases de datos y publicadas por organizaciones como
EXIDA 1, OREDA 2, etc. La siguiente tabla 7.3.2.3 muestra un ejemplo de probabilidad de
eventos iniciales.
109
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
La única capa de seguridad existente es el dique, que tiene un PFD estimado de 0,01.
Las alarmas y por tanto la acción del operador no se estiman ya que la causa inicial es el
sistema de control, por tanto no puede generar alarmas.
La compañía toma un criterio conservativo e indica que si el producto sale fuera del
dique la probabilidad de ignición es del 100%.
La probabilidad de que haya alguien en el área afectada mientras ocurre el suceso se
estima en 50%. Y finalmente la probabilidad de que alguien en el área muera debido al
accidente es del 50%.
La siguiente figura muestra la versión LOPA del árbol de eventos.
110
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
un PFD = 0,04. Esto significa un lazo de seguridad SIL 1 pero con un RRF por encima de
25 (Ver tabla 7.3.1.3 Índice SIL).
111
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografía y referencias:
[1] Curso: Análisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril
2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y
Victoriano Macías (INERCO).
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published by ISA, 2002.
[4] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5] Artículo: Techniques for Assigning A Target Safety Integrity Level, Angela E. Summers, Published in
ISA Transactions 37 (1998).
[6] Artículo: Methods of determining Safety Integrity Level (SIL). Requeriments – Pros and Cons, W G
Gulland, Published by Springer-Verlag London Ltd of the Safety-Critical Systems Symposium.
Febrero 2004.
[7] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[8] Seminario: PAS Process Safety Seminar. Luis García (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
112
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Una forma que se propone de documentación es en forma de check list basada en los
tags de cada función.
Los responsables de redactar la documentación, depende de cada compañía,
normalmente son el responsable del proyecto y el responsable de ingeniería. Esta
documentación formará parte de los registros de esta segunda etapa revisión de seguridad y
pasarán a formar parte en la siguiente etapa del ciclo de vida de seguridad funcional:
Especificación de los Requerimientos de Seguridad.
Es muy importante discutir el intervalo de prueba de funcionalidad con relación a los
planes de operación de la planta. El intervalo de test puede impactar significativamente en
el diseño final.
En el (ANEXO G: Especificaciones de los requisitos de Seguridad) se puede ver un
ejemplo de check list donde se recogen los resultados de la fase de asignación del valor
SIL y se complementa con las especificaciones de los requisitos de seguridad para poder
pasar a la fase de ingeniería y diseño del SIS.
IEC 61511 define las SRS como las especificaciones que contienen todos los
requerimientos de las funciones instrumentadas de seguridad en un sistema instrumentado
de seguridad.
El objetivo de esta fase del ciclo de vida (SRS) consiste en especificar y documentar
todos los requerimientos para todas las funciones de seguridad que ha de realizar el SIS
para el desarrollo de su ingeniería de detalle y para la seguridad funcional del proceso.
113
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Se trata de una etapa crítica, cualquier error, falta de datos u omisión en las
especificaciones resultará en una función de seguridad que no será capaz de realizar su
cometido en la forma prevista, con lo que la seguridad se verá afectada. Por tanto, las SRS
deben ser desarrolladas y revisadas por un equipo con experiencia en proceso, equipos,
operación y mantenimiento del proceso que se trata. La documentación de las SRS será
posteriormente utilizada para la verificación y validación del SIS.
Las SRS, como hemos indicado es un documento clave para la implementación y
pruebas del proyecto, así como para la correcta operación del sistema y su mantenimiento
(figura 7.4.2). Es el enlace entre todo el estudio teórico/práctico de análisis para poder
crear una base firme y estructurada para poder ejecutar el proyecto. Siempre son
elaboradas una vez seleccionado el SIL objetivo. Como hemos visto el 44% de los fallos
del sistema de seguridad instrumentado ante un incidente se debe a una mala
especificación de los requerimientos de seguridad, que pueden ser debido a:
− No realización correcta del Análisis de Riesgos y Peligros del proceso, lo que
implica una base de entrada para las SRS incorrecta (mala identificación de las
SIF, selección incorrecta del SIL).
− No se identifican modos de fallo y requerimientos de protección (acciones de la
SIF no logra un estado seguro, lentitud en la identificación y prevención del
peligro).
− No se definen todos los modos de operación del proceso (arranque, paro, etc.).
− No se identifican todas las condiciones ambientales y de proceso.
− Control de las SRS inadecuado.
− Requerimientos contradictorios o incompletos.
114
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
116
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 La interferencia electromagnética se refiere al fenómeno electromagnético no deseado que afecta las señales
eléctricas a una banda menor que la radiofrecuencia. Es una forma de ruido eléctrico que surge generalmente
de motores, transformadores, conductores de energía y de prácticas de cableado inapropiadas.
2 La interferencia por radiofrecuencia surge de señales en falso en el rango de radiofrecuencia (generalmente
de 0.5 a 500 MHz), puede generarse de manera local por sistemas de ignición, dispositivos de comunicación
de dos vías, equipo de soldadura, dispositivos de control, computadoras, entre otros.
3 Clase de Riesgo determinado usando la matriz de riesgo ejemplo propia de la organización (figura
7.3.1.5).
117
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
118
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
documentación SRS parta el diseño del SIS debería incluir: (ANEXO G: Especificaciones
de los requisitos de Seguridad):
− La descripción del proceso que incluiría:
• P&Ids, diagramas de tuberías e instrumentación del proceso.
• Descripción de la operación del proceso.
• Descripción del control del proceso incluyendo la filosofía del diseño del
sistema de control, tipo de controles, la interface con el operador, gestión de
alarmas, y registros de históricos.
• Requerimientos de normativas y leyes que afectan el diseño del SIS.
− Acciones que el sistema o componente debe realizar bajo circunstancias
establecidas (especificación funcional).
− Integridad requerida (confiabilidad y disponibilidad) para operar en dichas
circunstancias (especificación de integridad).
− Requerimientos de sobrevivencia una vez que un incidente serio ha sucedido
(especificación de sobrevivencia).
Además de toda esta información puede incluir para completar el paquete de
documentos:
− Diagramas causa-efecto: También conocidos como matrices de causa efecto
(cause and effects Matrix "CEM"). Se han convertido en una herramienta muy
familiar para documentar los requisitos de seguridad de un SIS - es una manera
muy intuitiva de representar la lógica. Estos diagramas se usan para documentar
los requerimientos funcionales y de integridad. Deben ser documentos claros
para todas las disciplinas. (Ver tabla 7.4.4.1 Diagrama Causa Efecto muestra)
Nivel tanque
LIAH10 1 0-100 80 % X
Hexano
Nivel tanque
LIAHH10 1 0-100 90 % X X 2
Hexano
Nota 2 Tiempo requerido de actuación máximo 3 segundos
119
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
120
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
122
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Funciones de monitorización:
Las funciones monitorizadas deben formar parte del DCS, no deben estar incluidas
en el SIS. Una función de monitorización nunca será una función de seguridad. Las
principales razones para esta separación son:
• Como regla general, el DCS y el SIS están separados para minimizar errores
potenciales en las funciones de seguridad del SIS debido a errores de operación,
mantenimiento o diseño.
• Las funciones de seguridad no deben arriesgar su función por otras. Por ejemplo
un cambio en una función de monitorización no debe producir un cambio en la
función de seguridad.
• Por último un PLC de seguridad debe procesar y ser lo más simple posible, la
complejidad de un SIS añade costes de inversión, requerimientos de test y
mantenimiento y efectos no deseados que pueden provocar errores potenciales
alrededor del SIS.
Bypasses:
Bypasear partes o componentes de una función instrumentada de seguridad puede
poner en riesgo la seguridad, por lo que la decisión de bypasear tiene que ser estudiada con
sumo cuidado durante la revisión de seguridad y puede que sea necesaria la aplicación de
medidas adicionales.
No está permitido bypasear una función de seguridad en su totalidad.
Si es necesario realizar bypases para mantenimiento u operación se debe considerar:
• Bypasear una canal de una arquitectura 1ooN para mantenimiento puede ser
aceptable si la seguridad no se ve afectada de forma negativa (p. ej. reparación de
algún elemento tan rápido como se pueda, y dentro de un tiempo especificado de
reparación.
• Bypasear en un canal 2oo3 es posible si este se lleva a un estado de “Bad value”
y el resultado es de un 1oo2.
• Si por motivos que salen de la operación normal de la planta (p. ej. arranque) es
necesario bypasear momentáneamente una función de seguridad. La seguridad
debe ser asegurada por otros medios.
• Para bypases de operación se debe considerar:
− Que estos estarán limitados a un tiempo estipulado (p. ej. un turno).
− Que estarán claramente visualizados por el SIS.
− Que el acceso al switch de bypass está protegido (p. ej. password).
• Si los test de lazo y bypases están incluidos en el diseño del SIS, y se notifica al
operador el requerimiento de bypass, este sólo puede estar activo durante un corto
periodo de tiempo. Esta previsión será documentada durante el proceso de
revisión de las especificaciones de requerimientos de seguridad
• Los bypases que no están descritos en el diseño del SIS, sólo pueden ser
realizados si existe un procedimiento de mantenimiento o una orden de cambio
escrita por el MOC (Management Of Change).
123
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografía y referencias:
[1] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[2] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[4] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[5] Artículo: Implementing a suitable safety instrumented system, Autor: R. Modi, publicado en junio
2010 en la revista Hydrocarbon Processing.
[6] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
diseño conceptual cumple con el SIL objetivo de las SRS. Se trata del tercer paso de
revisión de seguridad propuesta por el ciclo de vida de seguridad del SIS y previa a
desarrollar el diseño de detalle.
En el diseño y análisis de un sistema de seguridad hay que tratar diferentes factores
como la tecnología a seleccionar, arquitectura de la función de seguridad, modos y ratios
de fallo, diagnósticos, servicios de energía, interfaces, seguridad, intervalos de test, etc.
que harán cumplir con el SIL objetivo de las SRS.
Un sistema instrumentado de seguridad se compone principalmente de 3
subsistemas: sensores, elementos finales de control y procesador lógico aparte de sistemas
de soporte como aire de instrumentación o electricidad. El balance final de los fallos entre
los principales subsistemas de un sistema de seguridad queda reflejado en la siguiente
figura (Fuente: Offshore Reliability Database (OREDA))
125
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
nuevo riesgo. Este nuevo riesgo depende del ratio de fallo del componente común, ya que
si el componente común falla a demanda, la función del SIS no será capaz de responder a
la situación peligrosa. Por esta razón es preciso un estudio que asegure que el ratio de fallo
peligroso del componente común es suficientemente bajo.
Dentro de los componentes utilizados en un SIS podemos diferenciar dos tipos de
separación para la redundancia. La separación idéntica, debe constar de dos o más
componentes idénticos e independientes entre sí. La separación diversa debe constar de dos
o más componentes diferentes (diferente tecnología, configuración, etc.) e independiente
entre sí, este tipo de separación reduce la probabilidad de fallos sistemáticos y los fallos de
causa común.
Podemos decir que existen 3 partes de un sistema donde es plausible la separación
entre el BPCS y el SIS y que deben ser evaluadas para asegurar el cumplimiento con el SIL
meta de cada función de seguridad, estas son:
• Sensores y elementos finales de control
• Revolvedor lógico
• Comunicaciones entre el SIS y el BPCS y otros elementos
En resumen, se adopta que los sistemas de seguridad deben ser completamente
independientes del sistema de control. Si se precisa compartir entre ambos sistemas algún
elemento, la función instrumentada de seguridad ha de ser evaluada y siempre tendrá
preferencia sobre el sistema de control.
Otra forma de expresar el “tag” del lazo con la letra Z (FICZSHHA, lazo de
control de caudal con paro por enclavamiento por caudal alto alto y alarma).
Como podemos observar la forma de denominar a los elementos de seguridad de
un SIS depende de cada compañía y de la normativa en la que se apoyen (DIN,
ISA, etc.).
• En la planta: los elementos físicos han de estar debidamente etiquetados en
campo (ver figura 7.5.3). Por ejemplo mediante un triángulo con la letra A
insertada en su interior que indica que pertenece a un lazo de seguridad Clase A y
de acuerdo a lo indicado en los diagramas P&I y a la lista de “tags”. Los cables
también se etiquetarán con el mismo tag que en el diagrama P&I.
En general los sensores son usados para medir temperatura, presión, nivel, flujo,
concentración, etc. Estos pueden ser discretos, cambian de estado cuando se alcanza un set
point o analógicos, dan una salida variable en relación a la variable de proceso.
En sistemas de seguridad existen dos categorías de fallo principales que afectan a un
sensor. Puede ser un fallo seguro (fail safe) cuya causa nos llevará a un paro no esperado
de la planta, ejemplo de un cambio de estado del sensor sin que suceda un cambio en la
variable de proceso. O puede ser un fallo peligroso, por ejemplo que falle la respuesta a
una demanda actual o cambio de la variable de proceso sin indicación por parte del sensor.
Está claro que un sensor puede fallar por diferentes razones: corrosión en los contactos,
suciedad en el contacto, termopares quemados, salidas erráticas, transmisores inteligentes
(smart transmitter) en modo salida forzada, bloqueo de las líneas de proceso del
transmisor, etc.
El modo normal y recomendado por la mayor parte de compañías es diseñar el
sistema instrumentado de seguridad para que funcione en modo fail-safe, para asegurar que
los fallos sean siempre seguros. Esto quiere decir que cualquier anomalía en la función de
seguridad que no responda a una situación peligrosa en el proceso provocará llevar el
propio proceso a un estado seguro, puede implicar el paro de planta, es decir provocará
paros no deseados, molestos (spurious trip). Para minimizar estos paros no deseados
existen diferentes medidas a adoptar:
• Uso de tecnología fiable, selección de equipos “uso probado 1” o basados en una
certificación IEC 61508.
• Uso de estructuras multicanal (p.ej. votaciones 2oo3).
• Realizando instalaciones apropiadas de los equipos (p.ej. uso de tubing de acero
inoxidable en lugar de plástico).
Requerimientos básicos para un sistema en operando en modo fail-safe:
• Los sensores de contacto serán cerrados y energizados en condiciones normales
de operación del proceso.
• Las señales de los transmisores analógicos irán al punto de disparo bajo cualquier
fallo, a no ser que sea detectado por el sistema para que se tome una acción
correctiva.
• Los contactos de salida del sistema lógico en operación normal del proceso
estarán energizadas y cerrados.
• Los elementos finales a fallo de aire irán a la posición de seguridad (p.ej.
válvulas).
• Otros elementos finales como motores o turbinas se pararán.
El modo de fallo de los transmisores debe ser descrito en el documento SRS
(especificaciones de los requerimientos de seguridad), ya que para un estado seguro del
proceso, un transmisor en caso de fallo puede requerir ir a su estado bajo (Low) o alto
(High), dependiendo de su punto de disparo de seguridad.
1 Equipos “uso probado” (proven in use) son equipos aceptados por la IEC 61511 para el diseño de
sistemas de seguridad y basados en los años de experiencia de las empresas en el uso de un equipo sin fallos
peligrosos y adecuadamente documentado, aún cuando no cuente con certificación de seguridad.
128
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Hay que tener gran cuidado a la hora de elegir los sensores, ya que la precisión de
sus medidas depende del rango en que trabajen. Así un sensor diseñado para medir
presiones de hasta 15 bares, no es capaz de medir intervalos de 5 milibares.
Se ha de evitar compartir sensores entre el BPCS y el SIS. Cuando utilizamos
sensores redundantes y compartimos elementos de campo entre el BPCS y el SIS, un fallo
en el BPCS no debe inhibir el correcto funcionamiento del SIS, por lo que un aislador de
señal debe ser instalado entre el BPCS y el SIS.
Siempre que sea posible se utilizarán sensores y transmisores 2 analógicos ya que
estos presentan las siguientes ventajas ante los sensores de contacto:
• Tenemos indicación de la variable de proceso, por lo que nos dará una idea de si
su funcionamiento es correcto. Con un switch se debe hacer un test para saber si
es correcto su posición.
• Fácil de realizar un test parcial de la medida online –el setpoint de disparo del
controlador puede ser modificado-.
• Posibilidad de realizar diagnósticos.
• Menor tasa de fallos peligrosos y seguros.
• Podemos comparar la señal con la del BPCS.
• Mejor precisión, rangeabilidad y fiabilidad que un switch.
• Un único transmisor puede sustituir algunos switches.
• El controlador puede ser bloqueado por seguridad.
Es muy interesante el uso del protocolo HART (Highway Addressable Remote
Transducer) junto con transmisores inteligentes ya que son capaces de darnos a través de la
señal 4-20 mA una serie de datos con los que podemos realizar diagnósticos y detectar
alguno de los siguientes fallos de señal:
• Funcionamiento no correcto del transmisor.
• Señal de entrada del sensor fuera de rango.
• Señal de salida del transmisor congelada.
• Salida analógica fuera de rango.
Solamente utilizando estos cuatro diagnósticos podemos incrementar
aproximadamente en un 20% la cobertura de diagnóstico (DC) del transmisor. La
realización de un análisis de modos de fallo, efectos y diagnósticos (FMEDA) nos dará el
nivel de cobertura de diagnóstico del transmisor. Muchos fabricantes proveen evaluaciones
realizadas por terceros (EXIDA es un ejemplo) donde se incluye el FMEDA de diferentes
equipos utilizados en SIS.
2 El transmisor lo podemos considerar como parte del sensor y es el que nos da la señal analógica en
relación a la variable física que pretendemos medir.
129
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
3 El ajuste de los parámetros de proceso ha de estar protegido y bajo control para evitar cambios no
autorizados.
130
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
actúan durante largos periodos de tiempo. Un fallo típico peligroso que pueden tener es el
atasco o bloqueo que en situación de demanda hará que la válvula no actúe. Un fallo típico
seguro es la pérdida o fallo de la bobina de la electroválvula, cosa que al estar energizada
en condiciones normales de operación nos llevaría a un paro no deseado de la planta, pero
no a un estado peligroso (la válvula se irá a su estado de seguridad prefijado).
Todas las válvulas a pérdida de alimentación de aire deben ir a su posición de
seguridad (fail safe), el actuador de estas válvulas será de simple efecto con retorno por
muelle. Válvulas de doble efecto (aire para abrir y aire para cerrar) solo se utilizaran
cuando, por seguridad, se requiera mantener la última posición en caso de fallo de aire.
Modos típicos de fallo en las válvulas son:
Válvulas solenoides (electroválvulas):
• Bobina fuera de servicio, agotamiento de la bobina.
• Taponamiento de las vías y purgas de la válvula solenoide.
• Corrosión de los terminales.
• Ambiente hostil y/o calidad baja del aire de instrumentación que provoca un
agarrotamiento de la válvula solenoide.
Válvulas de corte:
• Fuga en la válvula.
• Incorrecta selección del tamaño del actuador que resulta incapaz de mover la
válvula a su posición segura a falta de aire.
• Atasco del vástago o asiento de la válvula.
• Atasco de la válvula.
• Taponamiento o rotura de la línea de aire de alimentación al actuador.
Las válvulas de control del BPCS dan la sensación de que continuamente se están
probando en el proceso normal de operación al estar en continuo movimiento y por tanto-
¿por qué no utilizarlas como válvulas de corte? No es una práctica recomendable. Como
vimos en el capítulo 7.5.1 se recomienda independizar los equipos del sistema de
seguridad y del sistema de control. Además sabemos que los elementos finales de un lazo
de seguridad son los equipos que proporcionan más fallos en un sistema y las válvulas de
control no suelen estar diseñadas para la seguridad (no contemplan parámetros como
rapidez de respuesta, resistencia al fuego, clase de fugas cero, etc.).
A pesar de todo pueden ser utilizadas en seguridad en casos en que no sea práctico
instalar una válvula adicional de corte, o el coste de su instalación no compensa la
seguridad que se pueda alcanzar. Para estos casos se estudiará la conveniencia o no de la
instalación y se incluirán recomendaciones como instalación directa de la válvula
solenoide al actuador bypaseando el posicionador, uso de redundancia para las válvulas
solenoides. Las válvulas solenoides han de garantizar una respuesta rápida del actuador.
En todo caso el uso de una válvula compartida por ambos sistema debe asegurar que
los riesgos asociados son aceptables y debe estar debidamente documentado.
El siguiente apartado se describe una serie de acciones que ayudan a detectar fallos
en válvulas.
132
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 Para un Sistema de Seguridad la operación normal del proceso corresponde a un estado estacionario
133
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
134
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1Existen numerosas bases de datos (p. ej EXIDA) así como software especializado en cálculo de PFD,
factores SIL, etc. (p. ej. EXSILENTIA de EXIDA) que tienen tabulados los valores de DC dependiendo de
los intervalos de test que se practiquen.
135
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
F (t ) = 1 − e − λt ⇒ F (t ) ≈ λt (6)
Aproximación válida para probabilidades menores de 0,2 que es donde nos
moveremos
PF (t ) ≈ λ * t (7)
PFavg ≈ λ * TI / 2 (8)
Por tanto con aproximaciones, cada vez que hacemos un test total de la válvula esta
vuelve a su valor inicial de probabilidad de fallo, con lo que la probabilidad de fallo media
se mantiene en un valor que depende del intervalo de tiempo entre pruebas.
Con el PST la probabilidad de fallo de la válvula no vuelve al punto original (0) sino
que queda un residuo de probabilidad de fallo, ya que no es posible diagnosticar todos los
fallos posibles. El punto inicial de probabilidad de fallo se desplaza según el factor de
cobertura de diagnóstico (DC) que obtengamos fruto del periodo de test y de las
condiciones de la válvula (son datos que obtenemos de bases de datos como EXIDA y
algún fabricante). La siguiente gráfica sintetiza la ecuación (3) de este apartado.
136
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
137
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Indicar que todos estos cálculos de verificación para ver si una función
instrumentada de seguridad alcanza el SIL objetivo especificado se realizan mediante
software especializados en tema de seguridad funcional y que contienen bases de datos de
diferentes organizaciones, fabricantes y normas donde se incluyen todos los datos
referentes a confiabilidad y operabilidad de todos los componentes susceptibles de ser
utilizados por un Sistema Instrumentado de Seguridad y que automáticamente generan
todos los documentos que requiere la norma. Un buen ejemplo de este software y
probablemente el más utilizado sea EXSILENTIA 1 –SILect + SRS + SILver, perteneciente
a EXIDA.
La siguiente tabla muestra los modos típicos de fallo de los elementos finales y la
detección del fallo con diferentes estrategias de pruebas.
Detectable.
Actuador/válvula Válvula falla a
Movimiento Detectable.
atascada cerrar (o abrir)
limitado
Asiento válvula Válvula presenta Detectable. Precisa prueba
No detectable.
dañado fugas con medición de fugas
Asiento válvula Válvula presenta Detectable. Precisa prueba
No detectable.
sucio o endurecido fugas con medición de fugas
Tamaño actuador
inapropiado para
Válvula no cierra (o
operar en No detectable Detectable
abre)
condiciones de
emergencia
Bibliografía y referencias:
[1] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Seminario: Descripción general de la Seguridad. EMERSON Process Management, Tarragona, Junio
2006.
[4] Fiabilidad y Seguridad: Su aplicación en procesos industriales. Antoni Creus i Solé. 2ª edición.
MARCOMBO, 2005.
[5] Seminario: PAS Process Safety Seminar. Luis García (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[6] The effects of Partial Stroke Testing on SIL level, EXIDA. www.exida.com
139
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
paro seguro de la planta. Precisa de gas seco y limpio. Un mal secado o filtrado del gas
puede ocasionar fallos en el sistema peligrosos como bloqueos de válvulas, obstrucciones
de línea, corrosión, etc. que hacen que el sistema no pueda funcionar cuando sea requerido.
Para evitar estos problemas se requieren frecuentes pruebas de funcionamiento (de forma
estándar mensualmente).
Los sistema con relés (aparecen en los años 60) se basan en lógica cableada cuyos
principales elementos son relés. Se utilizan en sistema muy pequeños (menos de 15 I/O).
Son seguros y pueden alcanzar requerimientos SIL 3 si se realiza un diseño correcto.
Tienen un coste bajo, son inmunes a la mayoría de la interferencias EMI/RFI, pueden
trabajar a diferentes rangos de tensión y poseen un tiempo de respuesta rápido (más rápido
que un PLC). Se trata de un sistema fail-safe, esto significa que el modo de fallo es
conocido y predecible si trabajamos con relés de seguridad.
Como principales inconvenientes encontramos:
− Paros molestos (spourious trips). Los sistemas con relés no suelen ser
redundantes, por lo que un fallo en un relé puede resultar un paro del proceso.
− Complejo para sistemas grandes. Como mayor sea el sistema menos manejable
será, la lógica relé se complica hasta el punto de llegar a perder la trazabilidad en un
seguimiento del circuito. Un sistema de 15 I/O es trazable. Un sistema de 500 I/O es
prácticamente imposible de seguir.
− Cambio de lógica manual. Cualquier cambio de la lógica requiere un cableado y
un cambio de documentación manual. El tener la documentación actualizada requiere
un gran esfuerzo y un estricto seguimiento de los procedimientos. Imaginemos
cientos de relés conectados entre ellos en un panel, es difícil de seguir, difícil de
documentar y difícil de manipular. Estos problemas, junto con otros, fueron los que
llevaron al desarrollo de los PLC.
− No existe interfaz de comunicación. No existe la posibilidad de comunicación con
otros sistemas.
− No incorporan ningún estándar para realizar test y bypases. Estos se pueden
realizar incrementando considerablemente la complejidad y el coste de los paneles.
− Solo admite señales digitales. No está pensado para la utilización de señales
analógicas de forma segura (fail-safe)
Sistemas de estado sólido (surgen en los años 70). Son lógicas cableadas sin software
y están basadas en relés de estado sólido. Los sistemas de estado sólido (tecnología
CMOS) fueron diseñados para sustituir a los relés. Aunque aún hoy en día son utilizados
para pequeñas aplicaciones empiezan a estar en desuso. El principal defecto de los sistemas
de estado sólido es que la probabilidad de modo de fallo es de 50/50 (50% fail safe y 50%
fallo peligroso).
Principales ventajas:
− Capacidad de test y bypass. Los sistemas de estado sólido dedicados a seguridad
incluyen estándar de test y posibilidad de bypasear (con llaves).
− Comunicación serie. Algunos sistemas tienen la posibilidad de realizar
comunicación con sistemas externos, normalmente usado para alarmas y para
visualizar el estado del sistema.
− Sistemas rápidos. Pueden llegar a ser más rápidos que un PLC.
140
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
141
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
143
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.5.6.2 Documentación
En general:
− Especificación de los requisitos de seguridad (SRS) basados en el análisis de
riesgos y peligros.
Hardware:
− Diagramas de lazo y cableado.
− Descripción de la interface y diagramas.
− Puntos de ajuste de parámetros del sistema.
− Documentación certificada de aprobación del SPLC y sus componentes
Programa de aplicación:
− Descripción del programa de aplicación.
− Descripción de las funciones de librería.
145
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
− Lógica programada.
− Lista de variables, constantes, …
− Identificación de las funciones de no-seguridad.
− Copia del programa de aplicación, escrita y guardada electrónicamente.
Pruebas:
− Pruebas realizadas y resultados.
− Persona/s que realizan la prueba y persona que lo aprueba.
− Fecha de la prueba.
146
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Cuando se deba hacer una actualización del firmware para actualizar versiones del
sistema, esta se hará con la planta parada y por personal especialista en el sistema, a ser
posible personal de mantenimiento e ingeniería del fabricante.
Es una buena práctica el realizar un contrato de mantenimiento con el fabricante del
equipo de tal forma que el cliente, en este caso la empresa propietaria del SPLC se asegure
principalmente:
− De que cualquier intervención es su equipo de seguridad lo hará personal
cualificado y certificado.
− Estar informado de posibles eventos e incidentes que puedan suceder en equipos
similares en otras plantas y que pudiesen reproducirse en su sistema.
− Estar informado del estado del SPLC frente a su ciclo de vida.
− Guardar la última versión del programa instalado.
Bibliografía y referencias:
[1] Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[3] Catálogo DELTA V SIS for Process Safety Systems. Published by EMERSON.
PFD: Probabilidad de que el sistema falle en forma peligrosa. Ante una demanda del
sistema este no actuaría. Provoca una situación peligrosa.
PFS: Probabilidad de que el sistema falle de forma segura. Provoca paros molestos.
Disponibilidad: Probabilidad de que el sistema realice con éxito la función para la
que fue diseñado en el instante de tiempo requerido
Ligado a la evolución de los sistemas de seguridad, en un principio lo que se
pretendía lograr era disminuir las probabilidades de fallo en demanda (PFD) 1, mantener el
sistema seguro y alcanzar el SIL meta especificado para cada función de seguridad. Con
este fin se empezó a aplicar el concepto de redundancia.
Por otro lado también era necesario evitar los paros innecesarios (paros molestos o
spourious trips) no producidos por una desviación real del proceso sino por algún fallo en
modo seguro de algún componente y que llevan al paro de la planta con todos los
inconvenientes que se pueden derivar, pérdidas económicas, condiciones de paro
inestables, etc. En este caso también se recurre a la redundancia para aumentar
disponibilidad. Un caso típico es utilizar fuentes redundantes de alimentación para
aumentar disponibilidad. Son redundancias que están a la espera.
En el siguiente análisis utilizaremos siempre las ecuaciones simplificadas, sin tener
en cuenta los efectos de los fallos de causa común, fallos sistemáticos y en sistemas con
diagnósticos o sistemas con HFT > 1 la parte que debe ser añadida al PFD debida al tiempo
de reparación del elemento en fallo (MTTR). Asimismo consideraremos sistemas fail safe
que en seguridad considera desenergizar para situación segura.
1 PFD (Probabilidad de fallo en demanda): El sistema no actúa cuando se produce una demanda, existe
una situación peligrosa en el proceso. PFS (Probabilidad de fallo seguro): El sistema de seguridad actúa sin
razón alguna.
150
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
NOTA: Ver el capítulo 7.5.4.3 para ver cómo se llega a la ecuación simplificada de
Probabilidad de Fallo:
PF (t ) ≈ λ * t
1 Según IEC 61511 por subsistema se entiende cualquier elemento del sistema que puede ser otro
sistema, bien de control o controlado, y puede incluir hardware, software e interacción humana. Un sistema
incluye los sensores, los SPLC’s, los elementos finales, las comunicaciones y equipos auxiliares
pertenecientes al SIS (cables, tubing, fuentes de alimentación, etc.)
151
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
demanda de forma peligrosa es necesario que fallen los dos canales. El sistema sólo
necesita un canal para realizar la función de seguridad.
Si un canal falla el sistema se degrada a un sistema 1oo1, por lo tanto tiene un
HFT=1.
De la aplicación de árbol de fallos llegamos a las siguientes ecuaciones:
Como λD y λS son < 0, vemos que este sistema es mucho más seguro que un 1oo1,
llegando a valores de SIL 3, pero duplica la probabilidad de fallo seguro, disponibilidad
operacional baja, sistema molesto.
• Arquitectura 2oo2
Este sistema no es muy utilizado debido a que es un sistema poco seguro, aunque sea
un sistema altamente disponible.
152
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Como vemos no es un sistema seguro, ambos canales han de activarse para realizar
la función de seguridad. Si un canal falla no se producirá la función de seguridad, se trata
de una arquitectura con SIL 0. La disponibilidad operacional del sistema es alta.
De la misma manera que un sistema 1oo1 el fallo de uno de los canales implica la
perdida de la función de seguridad, por tanto HFT=0.
• Arquitectura 2oo3
Con este sistema se busca aumentar la seguridad y a la vez aumentar la
disponibilidad operacional de la planta, evitando el efecto de los paros seguros.
Con este sistema se requieren que al menos dos elementos coincidan para realizar la
función de seguridad. Incrementa la disponibilidad operacional de la planta.
La función de seguridad de la planta sigue realizándose aun cuando si uno de los
canales falla. Incrementa la disponibilidad de seguridad.
Análisis del árbol de fallos del sistema:
PFD = 3 * (λ D * Ti ) (7)
2
153
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFS = 3 * (λ S * Ti ) (8)
2
La gran ventaja de este sistema es que tiene una tasa de fallo seguro (disparos en
falso) mucho menor que un 1oo2, por lo que incrementa la disponibilidad de operación,
aunque la probabilidad de fallo en demanda sea 3 veces mayor que un 1oo2, pero llega a
obtener valores SIL 3.
Asimismo puede tolerar el fallo de uno de sus canales (HFT=1), degradándose en un
sistema 2oo2 (SIL 0), que como hemos visto es el sistema más peligroso y por tanto un
2oo3 degradado debe repararse rápidamente.
Este sistema fue el más utilizado a finales de la década de los 70 y principios de los
80, hasta la aparición de los sistemas con diagnósticos en la década de los 90.
Lo que realmente se busca es un sistema con mejor disponibilidad que un 2oo3, y un
mejor nivel de seguridad que un 1oo2 y con la capacidad de tolerar fallos sin comprometer
la seguridad. Con la capacidad de diagnóstico lo que conseguimos es detectar fallos
peligrosos que pasan a convertirse en fallos seguros, por lo que solo deberemos
preocuparnos por los fallos peligrosos que el diagnóstico no puede detectar y que serán la
base para calcular la seguridad del sistema.
Como se puede apreciar en las funciones instrumentadas de seguridad, los sensores,
los resolvedores lógicos (PLC’s de seguridad en general) y los elementos finales deberán
tener una tolerancia a fallo mínima para cumplir con los requisitos de seguridad. Asimismo
hemos visto que la tolerancia a fallos representa un mínimo de redundancia requerida para
satisfacer el nivel SIL meta de una función instrumentada de seguridad.
Con la aparición de los diagnósticos surge una nueva variable que nos indicará la
efectividad del diagnóstico según la norma IEC 61511 parte 1. Se trata de la Fracción de
Fallos Seguros (SFF) y se define como la razón entre la tasa promedio de fallos seguros
más la tasa de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del
sistema.
Dónde:
λ SD + λ SU + λ DD
SFF = (9)
λ SD + λ SU + λ DD + λ DU
Como vemos las tasas de fallos pasan a ser 4:
λDU: tasa de fallo peligroso no detectable.
λDD: tasa de fallo peligroso detectable.
λSU: tasa de fallo seguro no detectable.
λSD: tasa de fallo seguro detectable.
%SAFE: ratio de fallos que son fail-safe.
λD: tasa de fallo peligroso. λ D = λTOTAL ∗ (1− % SAFE ) (10)
λSU = λ S ∗ (1 − C S ) (13)
λ DD = λ D ∗ C D (14)
λ DU = λ D ∗ (1 − C D ) (15)
Ejemplo. Si tenemos un transmisor con una tasa de fallo de 500E-9 fallos por hora,
con un 62 % de fallos fail-safe, con factor de cobertura para fallos seguros del 74% y para
fallos peligrosos del 96%. ¿Qué tasa de fallos tendrá el transmisor? ¿SFF del transmisor?
¿Qué SIL puede lograr dependiendo de la tolerancia a fallo hardware dispuesto?
λTOTAL = 500 E − 9
%SAFE = 0.62 (62%)
CS= 74%
CD= 96%
λ S = λTOTAL ∗ % SAFE = 500 E − 9 ∗ 0.62 = 310 E − 9 = 310 FIT 1
1 FIT: unidad fallos en tiempo. Indica el máximo de fallos en componentes por cada 109 horas de
funcionamiento.
155
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
(Ver apartado 7.5.8.1 HFT según norma IEC 61511 y IEC 61508 de este capítulo)
Indicar que todos los datos de tasas de fallos, ratios de cobertura de diagnósticos,
SFF, etc. son datos básicos que han de proveer los fabricantes bien por Análisis de Modos
de Fallos, Efectos y Diagnósticos (FMEDA) o por equipos de “uso previo”, para poder ser
utilizados en seguridad y son parámetros requeridos para la verificación SIL. Se
recomienda utilizar equipos certificados por un organismo independiente (TUV, FM) que
justifique que cumple los criterios de la norma IEC 61508.
• Arquitectura 1oo1D
Se trata de un sistema de un único canal que incluye el autotest y un paro secundario
controlado por los diagnósticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
Analizando el sistema:
λ = λ DD + λ DU + λ SD + λ SU (16)
Los fallos seguros no afectan a la seguridad de la planta aunque sean molestos e
impliquen un paro de proceso y con los diagnósticos somos capaces de detectar los fallos
156
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
λ SU = λ S * (1 − C S ) (18)
Como más se acerque el factor de cobertura a 1 para fallos en demanda, más bajo
será el valor de PFD. El sistema fallará cuando ocurra un fallo en demanda no detectado.
PFD = λ DU * Ti (19)
PFS = λ SU * Ti (20)
Con un sistema 1oo1D normalmente podemos alcanzar valores de SIL 2
dependiendo del factor de cobertura de que dispongan, aunque cada vez más con los
equipos SMART (inteligentes) con una alta disposición de diagnósticos podemos lograr
alcanzar SIL superiores.
Para obtener valores de SIL 3 debemos ir a arquitecturas 1oo2D.
• Arquitectura 1oo2D
Se trata de un sistema de dos canales que incluyen el autotest y un paro secundario
controlado por los diagnósticos que convierten un fallo peligroso en seguro. Salida es fallo
seguro.
La función es idéntica al 1oo1D pero incrementando la disponibilidad de seguridad y
de operación.
Para que se produzca una fallo peligroso los dos canales deben fallar en forma
peligrosa, es decir los diagnósticos de ambos no deben haber detectado fallos peligrosas,
por tanto son fallos no detectados (DU) peligrosos. Notar que siempre hay un canal
157
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
calculando y otro verificando, por lo que cualquier variación entre ambos canales será
detectada por los diagnósticos que abrirán el circuito y avisarán del evento. Es decir el
valor de PFD 1oo2D es el producto del elemento que calcula y el que verifica.
PFD = (λDU * Ti )
2
(21)
PFD = (λ D * (1 − C D ) * Ti )
2
(22)
De forma similar:
PFS = 2 * (λ SU * Ti ) (23)
PFS = 2 * λ S * (1 − C S ) * Ti (24)
Con esta arquitectura se alcanzan niveles de integridad SIL 3. Esta arquitectura al
degradarse por falla peligrosa se convierte en un 1oo1D, se degrada a un nivel SIL 2.
Como vemos con la aparición de los diagnósticos se logran sistemas mucho más
seguros teniendo un fuerte impacto en la PFD y la disponibilidad del sistema. Los
diagnósticos sólo tienen sentido si van acompañados de un buen sistema de alarmas y de
una reparación rápida del componente en fallo. El diagnóstico condujo a nuevas
arquitecturas que permiten la reconfiguración del sistema una vez el diagnóstico ha
detectado un fallo, ello lleva a configuraciones muy efectivas al proveer de valores muy
bajos de PFD y PFS, asimismo conseguir una mayor disponibilidad y en el caso de un
1oo2D tener un HFT=1.
Ya en los años 2000 aparece lo que se denomina la 3ª generación de sistemas de
seguridad. Se trata de sistemas con un altísimo nivel de diagnósticos que permiten factores
de cobertura de diagnóstico del 99.9%, lo que permite alcanzar seguridad independiente de
redundancia y votación. En estos casos la redundancia es opcional y se utiliza para
alcanzar disponibilidad. Son sistemas altamente modulares y escalables con una alta
integración en el DCS, hasta ahora el concepto era de separación entre DCS y SIS, con esta
nueva generación de sistemas este concepto está cambiando. Alcanzan certificaciones
TÜV de SIL 3 según los estándares IEC 61508. Como se indicó en el capítulo 7.5.5
ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de Siemens, Delta V SIS de
Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de Yokogawa.
Se trata de arquitecturas FMR (Flexibles Modulares Redundantes).
Analizando la eq. (17) y la eq. (19) de un sistema 1oo1D llegamos a la expresión:
PFD = λ D * (1 − C D ) * Ti (25)
A medida que los diagnósticos son mayores el factor de cobertura se acerca al 100%,
C D tiende a 1, con lo que la PFD para fallos no detectados se acercará a 0 y los fallos
158
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
peligrosos detectados se convierten en fallos seguros por lo que el nivel de seguridad SIL
de una función dependerá de la tasa de fallos no detectados ( λDU ). Si este valor es pequeño
podemos llegar a nivel SIL 3, y si es tan pequeño que duplicándolo sigue estando en los
valores de SIL 3 podemos decir que cualquier arquitectura que se diseñe con este elemento
Hardware se mantendrá dentro del SIL 3. Es decir que podemos tener elementos
redundantes en cualquier sistema sin afectar la seguridad y aumentando la disponibilidad
(ver arquitectura 2oo2). Las arquitecturas FMR permiten múltiples fallas y poder trabajar
en modo degradado sin afectar el nivel de integridad de seguridad funcional original, aun
siendo este SIL 3. Ejemplos de esta arquitectura:
• Simatic S7 400 F/FH de Siemens:
Se trata de un sistema modular a todos los niveles. Los módulos están separados
físicamente del controlador y conectados por un bus de comunicaciones estándar
certificado por TÜV para usos en seguridad funcional (Profisafe DP). Este bus permite la
comunicación de cada componente con todos los demás.
El sistema puede tolerar múltiples fallas en diferentes componentes sin comprometer
la seguridad y sin parar la planta.
Una arquitectura que puede optar este sistema puede ser:
159
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Por tanto con esta configuración se trata de un sistema que tolera 4 fallos hardware
HFT=4.
Para más información consultar la página web http://www.automation.siemens.com.
• Delta V SIS de Emerson:
160
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
161
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Tabla 7.5.8.2. Nivel SIL para los revolvedores lógicos programables PE, relación arquitectura/seguridad.
Como el SFF es un dato que nos debe dar el fabricante y que precisa de complicados
análisis FMDEA o bien datos de la experiencia en campo “proven in use” se recomienda
utilizar sistemas certificados cuyos SFF’s han sido determinados en el alcance de la
certificación.
Para todos los dispositivos de campo como sensores, elementos finales y
revolvedores lógicos no programables la mínima tolerancia al fallo hardware según IEC
61511 será el que se muestra en la siguiente tabla:
Tabla 7.5.8.3. Nivel SIL para sensores, elementos finales y revolvedores lógicos no programables, relación
arquitectura/seguridad
162
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Así como ejemplo, imaginemos que tenemos seleccionada una arquitectura como la
de la figura 7.5.8.7
Un sistema E/E/PE completo esta constituido por subsistemas identificables y diferenciables que unidos
realizan la función de seguridad considerada. Un subsistema puede estar constituido por diferentes canales.
E/E/PE es una definición de IEC 61508 que equivale a SIS en IEC 61511.
163
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Tabla 7.5.8.4. Nivel SIL del subsistema, relación arquitectura/seguridad. Subsistemas tipo A y B
164
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
SFF =
∑λ + ∑λ + ∑λ
SD SU DD
∑λ + ∑λ + ∑λ + ∑λ
SD SU DU DD
El problema está en obtener todas las tasas de fallo de los componentes de una
manera fiable y como tratar los componentes con criterio “uso previo” IEC 61511. Los
componentes certificados por TÜV ya nos indican directamente el valor de SFF.
Variante 2: Conocidos los valores de SFF y de qué tipo de elementos se trata (A o
B), por la tabla 7.5.8.4 obtener el SIL máximo del subsistema:
Sensor SFF = 65 %, tipo A → SIL 2
Convertidor SFF = 98 %, tipo B → SIL 2
Separador SFF = 89 %, tipo B → SIL 1
Entrada SPLC SIL 3 → SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con
respecto a la arquitectura. Para realizar este análisis bajo la norma IEC 61508 se requieren
todos los datos de SFF y tasa de fallos por parte del fabricante.
Variante 3: Combinación de las dos anteriores. El sensor se estima por la tabla
7.5.8.3 y las reducciones por el criterio “uso previo”.
Sensor “uso previo” reducción 1 → SIL 2 (IEC 61511)
Convertidor SFF = 98 %, tipo B → SIL 2
Separador SFF = 89 %, tipo B → SIL 1
Entrada SPLC SIL 3 → SIL 3
Por lo tanto, en estas condiciones, el subsistema puede satisfacer un SIL 1, con
respecto a la arquitectura.
Por otro lado sí en un sistema E/E/PE relativo a seguridad, la función de seguridad se
implementa a través de múltiples canales de subsistemas el máximo SIL hardware que
puede alcanzar la función de seguridad tratada será determinada por:
− Evaluación de cada subsistema en relación con los requisitos de la Tabla 7.5.8.4,
y
− La agrupación de los subsistemas y combinaciones, y
− El análisis de estas combinaciones para determinar el nivel de integridad de la
seguridad SIL global del equipo (hardware).
Consideremos el siguiente ejemplo donde la realización de la función de seguridad se
lleva a cabo por los subsistemas 1, 2, 3 ó 4, 5, 3 tal y como se muestra en la figura 7.5.8.9.
165
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
167
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
168
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
• Tiempo de transferencia.
• Protección por sobrecarga y cortocircuito.
• Protección contra descargas atmosféricas.
• Protección contra transitorios como ruidos y picos de tensión.
169
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.5.11 Interfaces
Aunque existen varios modos de interfaces en Sistemas Instrumentados de
Seguridad, los principales interfaces se encuentran como Interfaz Hombre-Máquina (HMI)
e interfaces de comunicación. Podemos distinguir dos tipos de interfaces hombre-máquina:
• Interfaces de operador.
• Interfaces de mantenimiento/ingeniería.
1 Como mensaje entendemos, alarmas, eventos, alertas, situaciones, información que se quiere dar al
La interfaz con el operador es importante, pero no debe ser crítica para el correcto
funcionamiento del sistema. Desde la interfaz del operador no debe ser posible modificar el
sistema de seguridad. Si por diseño se requiere el uso de acciones del operador, el diseño
incluirá sistemas de seguridad de protección contra errores del operador.
Cualquier acción tomada por el operador deberá ser confirmada.
Acciones típicas que el operador puede hacer son los bypass de señales para realizar
mantenimiento. Estas acciones estarán protegidas con contraseñas para evitar ser realizadas
por personal no autorizado. Normalmente este tipo de acciones son realizadas por el
personal de mantenimiento de instrumentación que es quien suele realizar las pruebas de
seguridad de los lazos de seguridad en el periodo marcado en las especificaciones de los
requerimientos de seguridad.
La información que debería ser monitoreada y a la que debe tener acceso el operador
es la que permite saber el estado en que se encuentra el sistema instrumentado de seguridad
y que es crítica para que se mantenga el SIL requerido. Esta información debe incluir:
• La secuencia del proceso.
• Indicación de activación de la función de seguridad del SIS.
• Indicación de las funciones de seguridad bypaseadas.
• Indicación automática de degradación del voto de una función.
• El estado de los sensores y elementos finales de control.
• La pérdida de energía cuando esta afecta a la seguridad.
• Fallos de equipos que son necesarios para el correcto funcionamiento del SIS.
• Los resultados de los diagnósticos.
• Históricos de alarmas y secuencia de eventos (suele venir como software de
servicios del PLC de seguridad y se recomienda que sea utilizado por personal
autorizado y de mantenimiento).
Las interfaces de operador típicas para comunicar información entre el sistema de
seguridad y el operador son:
• Paneles de control que contienen lámparas, botoneras, indicadores e
interruptores.
• Monitores de visualización.
• Alarmas sonoras y visibles.
• Impresoras.
• El propio BPCS como interfaz, si esta comunicado con el SIS.
Los monitores de visualización pueden compartir señales de alarma del sistema de
control y del sistema de seguridad teniendo en cuenta que los datos visualizados deben ser
actualizados y refrescados en el tiempo requerido y especificado, y deben estar claramente
identificados para evitar la confusión al operador de una situación de emergencia indicada
por el SIS o por alarmas del sistema de control (BPCS).
Los mensajes y alarmas deben ser claros y concisos y deben tener una jerarquía para
diferenciar aquellos que son críticos “critical” de los no críticas como los de alerta
“warning” o las que avisan de alguna mal función del equipo “advisory”, se diferencian
171
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
por su sonido y su color normalmente y serán visibles en modo intermitente hasta que se
reconozcan y una vez reconocidos y hasta que se solucione el problema en modo continuo
(recomendación EEMUA publicación 191 “Alarm Management”).
[3] Artículo: “Gestión de Alarmas: Un punto clave en la planificación de la seguridad”, Ignacio Queirolo,
Repsol YPF. Publicado en la revista Petrotecnia (feb 2011). (www.petrotecnia.com).
[4] The Alarm Management Handbook 2nd Edition. Hill Hollifield and Eddie Habibi, published by PAS,
(2010).
173
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
extraño encontrar sistemas de seguridad que nunca han sido chequeados y cuando estos
son probados se encuentran fallos peligrosos que conducen a la inactividad de la función
de seguridad para la que fue diseñada, sobre todo en elementos de campo.
Donde:
DC = Factor de cobertura de diagnóstico (0 – 100%) (Eficacia del test).
TI1 = Intervalo del test.
TI2 = Intervalo cuando el sistema realiza el test completo del sistema, o es
remplazado, o puede ser el tiempo de vida de la planta si el sistema no se prueba
completamente o se cambia.
Así, sí la válvula ON/OFF tiene un λd de 0.025 fallos por año (MTTF = 40 años), un
test periódico anual garantiza una efectividad del 95% (detecta el 95% de fallos) y la
válvula cada 10 años es cambiada. Qué PFDavg tendrá la válvula durante los 10 años de
operación si:
1) La válvula se prueba cada año y se cambia cada 10 años.
2) La válvula no se testea pero se cambia cada 10 años.
Caso 1)
De la eq. (2) PFDavg = (0.95 * 0.025 * (1 año/2)) + (0.05 * 0.025 * (10 años/2) ;
PFDavg = 0.018 -> SIL 1
Caso 2)
De la eq. (2) PFDavg = (0 * 0.025 * (0 año/2)) + (1* 0.025 * (10 años/2) ;
PFDavg = 0.125 -> SIL 0
Se trata de una ecuación aproximada y tiene poco error siempre que el tiempo medio
de fallo sea significativamente mayor que el intervalo de test (MTTF >> TI1).
Como vemos es necesario que en el diseño se establezcan las frecuencias y los
procedimientos necesarios para realizar las pruebas de los lazos de seguridad. Cada lazo de
seguridad (SIF) deberá tener su propio procedimiento de manera que podamos descubrir
los fallos peligrosos no detectados por diagnósticos. En cada procedimiento se describirán
los pasos a seguir para realizar el test de seguridad de forma segura y que evite paros en
falso de la planta, asimismo la hoja de prueba de lazo ha de incluir (IEC 61511 parte1):
• El funcionamiento correcto de cada sensor y elemento final.
175
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFD(t )dt
1
T∫
1
PDFavg =
176
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.5.12.2 Documentación
Todas las operaciones, pruebas, y procedimientos de mantenimiento deben estar
completamente documentados y puestos a disposición del personal. Como se ha comentado
anteriormente es una buena práctica que todas las partes, ingeniería, producción y
mantenimiento estén involucrados en el desarrollo de los procedimientos de las pruebas de
seguridad con el fin de que todas las partes conozcan y entiendan los procedimientos.
Todos los tests realizados se deben guardar en formato de papel. El usuario debe
mantener registros que verifican que los tests y las inspecciones han sido realizadas como
se requiere en el procedimiento. Esta documentación puede ser requerida y auditada por
una persona, grupo u organismo independiente con posterioridad. Normalmente todas las
empresas están sometidas a auditorías internas propias y a auditorias de seguridad externas
realizadas por organismos independientes. El no cumplir con los procedimientos
requeridos se considera una falta grave que ha de ser resuelta en la mayor brevedad
posible.
Los registros de las pruebas de seguridad como mínimo han de incluir:
1) Sistema probado (tag, número de equipo, número de lazo, …)
2) Intervalo de test.
3) Descripción de los test e inspecciones realizadas.
4) Fecha de la realización de la prueba e inspección.
5) Nombre de la persona que realiza la prueba.
6) Resultados de la prueba e inspección.
El comité ISA SP84 ha editado anexo técnico sobre test de sistemas de seguridad.
ISA-TR84.00.03-2002 se trata de una guía para pruebas de funciones instrumentadas de
seguridad implementadas en SIS.
(ANEXO N: Pruebas de Lazos de Seguridad)
Bibliografía y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
177
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
• Problemas de tierra.
• Inducciones electromagnéticas, ruido eléctrico.
A continuación se resumen unas buenas prácticas que nos pueden ayudar a
minimizar problemas con el cableado:
• Eliminar circuitos comunes. Cada equipo de campo tendrá su propio y dedicado
cableado. Sólo es posible utilizar un cableado común en el caso de un bus de
campo (ej. profisafe de SIEMENS), siempre que cumpla con las especificaciones
requeridas de seguridad.
• Cada entrada y salida de campo deben tener fusibles o limitadores de corriente,
que pueden ser parte de la lógica de los módulos de entrada y salida del sistema o
usando fusibles externos.
• Separar el cableado y cajas de conexión del sistema de seguridad de los demás
sistemas de control de la planta, asimismo etiquetar claramente los cables del
sistema de seguridad.
• Se ha de tener en cuenta la inductancia, capacitancia y longitud de los cables.
Dependiendo de la sección y la distancia se pueden producir inducciones que
impidan la actuación de las entradas y salidas del sistema de seguridad por caída
de tensión.
• En general los cables por bandeja deberán llevar cubiertas metálicas o ser cables
armados para protegerse mecánicamente. Estas bandejas o cables armados deben
estar conectados a tierra al inicio y final y dependiendo de la distancia en puntos
intermedios con el fin de proteger las cables de interferencias electromagnéticas y
protección contra rayos.
• Aislar la tierra de los sistemas entre ellos y separar galvánicamente los elementos
comunes.
• Diseñar los armarios de conexiones y cableado de manera que minimicen el ruido
eléctrico y la alta temperatura.
Bibliografía y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
Un fallo se clasifica como físico cuando algún estrés físico excede la capacidad de
los elementos instalados. Un fallo sistemático ocurre cuando el sistema, aunque esté
funcionando, no es capaz de realizar la función especificada debido a errores de diseño o
instalación.
Fallo de causa común puede ser debido a diferentes situaciones. Puede producirse
por un estrés (figura 7.5.15.2) que produce un fallo en varios elementos o en una parte del
sistema y hace que sistemas redundantes fallen. Como fuentes de estrés tenemos
temperatura, humedad, corrosión, vibración, interferencias electromagnéticas, entre otras.
Asimismo un fallo en un elemento no redundante puede causar un fallo de causa común,
por ejemplo podemos encontrar un controlador triplicado alimentado por una única fuente
de alimentación, el fallo de esta fuente hace que caigan los tres controladores. Un fallo de
causa común puede resultar de un fallo sistemático (p. ej. de diseño) que afecte a
elementos redundantes (figura 7.5.15.1).
Figura 7.5.15.1 Relación de fallos de causa común y los fallos sistemáticos de canales individuales.
179
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
El efecto del estrés hace que la tasa esperada de fallos (λ) del sistema aumente y en
muchos cálculos que no se ha considerado el efecto de los fallos de causa común la
confiabilidad del sistema no alcance los valores estimados.
λ = λindependiente + λcc (1)
Una forma de indicar el factor de influencia del estrés en los componentes idénticos
es el factor beta ( β ). El factor beta representa la fracción de la tasa de fallo en donde 2 ó
más fallos ocurrirán debido a un mismo estrés común.
λcc
β= (2) λcc = β ∗ λ (3)
λ
Indicar que el modelo del factor β es un modelo empírico, no es un modelo real sino
que se trata de una estimación de la realidad.
La norma IEC 61508 parte 6 1 indica valores estimados de factor β para diferentes
equipos de lo que podemos extraer:
β = 0,005 → 0,05 en equipos electrónicos programables.
β = 0,01 → 0,1 en equipos de campo.
El anexo técnico ISA-TR84.00.02-2002 parte 1 emitido por el comité ISA SP84, en
su anexo A, nos da una metodología para la obtención empírica de los valores β de las
funciones instrumentadas de seguridad.
Para disminuir los fallos de causa común las prácticas recomendadas más efectivas
son:
• Separación física: unidades redundantes tienen menos probabilidad de recibir el
mismo estrés. Se trata de separar equipos.
• Tecnología diversa: unidades redundantes responden diferente a un estrés común.
Se trata de utilizar equipos diferentes.
Si controladores redundantes son alojados en diferentes paneles, armarios, y a la vez
estos armarios en diferentes salas de instrumentación un fallo de causa común será poco
probable. Si usamos dos diferentes transmisores de caudal, de dos diferentes fabricantes y
basados en diferentes tecnologías de medida será prácticamente improbable que tengan un
problema de fallo por una causa común.
1 Referencia a la normativa IEC 61508 parte 6 para obtener más información sobre diferentes valores
de β , procedentes de estudios empíricos.
180
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFD1oo 2 = λ D *Ti 2
2
En un sistema 1oo2: (5)
Por tanto 1: (
PFDavg1oo 2 = λ D ∗ TI 2 / 3
2
) (6)
PFDavg1oo 2 = 0.000133
En un sistema 1oo2 con causa común:
El PFDavg del sistema: PFDavg1oo 2 ( cc ) = PFDavg1oo 2 + PFDavg cc (7)
λ D 2 ∗ Ti 2 λcc ∗ Ti
Por tanto: PFDavg1oo 2 ( cc ) = + (9)
3 2
PFDavg1oo 2 ( cc ) = 0.000633
PFD(t )dt
1
T∫
1
PDFavg =
181
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Bibliografía y referencias:
[1] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[2] ISA-TRS84.00.02-2002-Part1, Safety Instrumented Functions (SIF) – Safety Integrity Level (SIL).
Evaluation Techniques. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
182
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
183
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.6.1 Introducción
En la especificación de requisitos de seguridad (SRS) se define el diseño de los
elementos que intervienen en la función de seguridad, tecnología de los sensores,
procesador lógico y elementos finales, que arquitectura (redundancia) necesito para
cumplir con el SIL objetivo establecido en el análisis de riesgos del proceso, software a
utilizar y se ha decidido que filosofía de pruebas queremos realizar para poder encontrar y
reparar cualquier fallo potencial no detectado en el equipo de seguridad, es decir, se ha
establecido un política de inspección y mantenimiento. Todas estas decisiones afectan al
cálculo de PFD de cada función de seguridad.
Comprobar que el lazo de seguridad instalado cumple con el SIL objetivo requiere
de un trabajo analítico adicional complejo en el que hemos de considerar parámetros como
el fallo de causa común en equipos redundantes, intervalos de pruebas de equipos, tiempos
de reparación fuera de línea, tipo de redundancia, números de elementos de una función de
seguridad y muchos otros detalles. Todos estos detalles hacen que la verificación del SIL,
el desarrollo y mantenimiento de los procedimientos y las herramientas adecuadas capaces
de un análisis riguroso puede que sean muy exigentes y costosas. Este alto nivel de los
costes adicionales normalmente es difícil de justificar, salvo tal vez por las grandes
empresas de la industria de procesos.
Los métodos de verificación deben ser coherentes, lógicos y verificables. La mejor
manera es realizar la verificación a través de un procedimiento claro, documentado y
probado. Como ya se comentó, en el mundo de la industria de proceso químico y
petroquímico el método más utilizado para la selección del SIL objetivo es el método
HAZOP en combinación con las matrices de riesgos. Un procedimiento claro que verifique
y asegure el SIL objetivo resulta difícil de desarrollar y mantener, ya que implica la
demanda de un programa de seguridad con la implicación de importantes recursos
económicos y personales que no repercuten directamente en la producción y que por tanto
en pequeñas empresas es difícil de justificar. En el actual entorno industrial solo puede ser
soportado por grandes multinacionales.
Otro problema añadido al procedimiento de verificación es encontrar datos precisos
para la realización de los cálculos. Información sobre las tasas de fallo y su clasificación en
sensores, sistema de control de seguridad, actuadores y elementos finales de control, etc.
depende de un exhaustivo y detallado análisis modal de fallos, efectos y diagnósticos
(FMEDA). Cuando no es práctico realizar este tipo de análisis se pueden realizar ciertos
supuestos, simplificaciones que es importante que sean conservativas. Si los modos de
fallo no se conocen, hemos de asumir que todos los fallos son peligrosos. Si la cobertura de
diagnóstico no es conocida, todos los fallos son no detectables. Si el factor de causa común
(β) no es conocido, un valor del 10 % será conservativo.
Una solución es utilizar equipos “uso previo”, son equipos ya instalados y la
experiencia nos da una fiabilidad contrastada, no es un sistema viable para pequeñas
184
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.6.2 Procedimiento
La integridad de seguridad se define como la probabilidad de que una función
instrumentada de seguridad realice satisfactoriamente la función de seguridad requerida
bajo todas las condiciones establecidas y en un tiempo establecido.
La integridad de la seguridad se compone de 2 elementos:
1. La integridad de seguridad hardware.
2. La integridad de seguridad sistemática.
La integridad de seguridad hardware se puede calcular con un nivel aceptable de
precisión y está basada en los fallos aleatorios del hardware del sistema. La norma
ANSI/ISA-84 y la IEC 61508 y 61511 se refiere a la integridad de seguridad hardware con
la especificación de una medida objetivo de fallos para cada SIL. En una función
instrumentada de seguridad operando en modo demanda la medida objetivo de fallos es
dada por el valor PFDavg (probabilidad de fallo promedio para realizar la función de
seguridad en demanda) es la tasa de fallos peligrosos media. La integridad sistemática de
la seguridad es difícil de cuantificar y las normas indican técnicas, procedimientos y
medidas a seguir para reducir los fallos sistemáticos introducidos en un sistema.
Normalmente son fallos producidos en las fases de especificación, diseño, implementación,
operación y modificación y afectan tanto al hardware como al software. Es en la
especificación de los requisitos de seguridad donde se decide o se concluye el diseño de los
elementos (hardware, software, redundancia, etc.) y la forma de operar (política de
mantenimiento e inspección, frecuencia de las pruebas de lazos y equipos, etc.) y que
afectan a la PFD final de la función de seguridad.
Normalmente en la evaluación de una SIF (función instrumentada de seguridad)
también se especifica una tasa de fallos seguros que sea aceptable. Estos fallos nos
conducen a disparos en falso o paros molestos. Aunque estos fallos producidos en el
sistema de seguridad no son fallos que nos llevan a una situación de riesgo en demanda
como pasa con los fallos peligrosos, sí que es cierto que nos conduce al paro y arranque del
proceso, que además de consecuencias económicas asociadas a la pérdida de producción, el
paro y arranque de una planta es un periodo crítico donde la probabilidad de que ocurra
algún riesgo es mayor, sobre todo en equipos como compresores y motores, o estrés en
tuberías y depósitos debido a cambio de temperatura o presión que puede ocasionar fugas
en bridas, tensiones en tuberías, etc. Por tanto el reducir los paros en falso aumentará la
seguridad del proceso. La tasa de fallos seguros es expresada como el tiempo medio para
fallos en falso MTTFspurious (mean time to fail - spurious).
A continuación se puede ver un esquema lógico del proceso simplificado a seguir en
la seleccción y verificación del SIL.
186
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Tabla 7.6.3.1 Índice SIL según IEC 61511, IEC 61508 e ISA-TR84.01-1996
Para cumplir con un determinado nivel SIL requerido para una función
instrumentada de seguridad, el PFDavg debe ser menor que el límite superior del SIL
dispuesto por la norma en cada nivel.
En general se puede afirmar que:
PFD = f (tasa de fallo (λ), tasa de reparación (µ), intervalo de test (TI), causa común
(β), etc.)
Asimismo la función específica f dependerá y será un atributo de la arquitectura del
sistema seleccionada para el SIS.
La probabilidad de fallo en demanda se determina por la suma de las probabilidades
de fallo en demanda de todos los componentes implicados en cada función instrumentada
que asegura una protección contra eventos peligrosos de un proceso. Si la función de
protección incluye varias variables de proceso, necesitamos sumar sus probabilidades de
fallo, ya que sólo que una de estas variables se encuentre en fallo el sistema instrumentado
de seguridad no funcionará correctamente.
Configuración 1oo1
TI TI
PFDavg = λDU × + λDF × (4)
2 2
Dónde: λDU es la tasa de fallas peligrosas no detectadas.
λDF es la tasa de fallos sistemáticos peligrosos.
TI es el intervalo de tiempo entre test de pruebas funcionales.
TI
El término λDF × es la probabilidad de fallo debido a errores sistemáticos.
2
2 2
3 2 2
Dónde: MTTR es el tiempo medio de reparación.
190
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
común.
TI
El término λDF × es la probabilidad de fallo debido a errores sistemáticos.
2
Configuración 1oo3
( ) × TI4
[( ) ×λ
] TI TI
2
PFDavg = λDU + λ × MTTR × TI 2 + β × λDU × + λDF × (7)
3 DU 2 DD
2 2
[( ) ]
El término λDU × λDD × MTTR × TI 2 representa la probabilidad de errores durante
2
el tiempo de reparación de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparación es corto, < 8 horas.
TI
β × λ × 2 es la probabilidad de fallo debido a fallos de causa
DU
El término
común.
TI
El término λDF × es la probabilidad de fallo debido a errores sistemáticos.
2
Configuración 2oo2
[
] [ TI
PFDavg = λDU × TI + β × λDU × TI + λDF × (8) ]
2
[ ]
El término β × λDU × TI es la probabilidad de fallo debido a fallos de causa común.
TI
El término λDF × es la probabilidad de fallo debido a errores sistemáticos
2
Configuración 2oo3
[(
PFDavg = λDU ) × TI
2 2
]+ [3λ DU
] TI TI
× λDD × MTTR × TI + β × λDU × + λDF × (9)
2 2
191
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
[ ]
El término 3λDU × λDD × MTTR × TI representa la probabilidad de errores durante el
tiempo de reparación de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparación es corto, < 8 horas.
TI
β × λ × 2 es la probabilidad de fallo debido a fallos de causa
DU
El término
común.
TI
El término λDF × es la probabilidad de fallo debido a errores sistemáticos.
2
Configuración 2oo4
[(
PFDavg = λDU ) × TI
3 3
]+ [4(λ )
DU 2
] TI TI
× λDD × MTTR × TI 2 + β × λDU × + λDF × (10)
2 2
[( ) ]
El término 4 λDU × λDD × MTTR × TI 2 representa la probabilidad de errores durante
2
el tiempo de reparación de uno de los elemento, por tanto de un canal. Este valor se puede
considerar nulo si el tiempo de reparación es corto, < 8 horas.
TI
β × λ × 2 es la probabilidad de fallo debido a fallos de causa
DU
El término
común.
TI
El término λDF × es la probabilidad de fallo debido a errores sistemáticos.
2
Consideraciones:
1. Para todos los cálculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
2. Los términos referidos a fallas sistemáticas, fallos debidos errores en el diseño, en
la programación, en la calibración de los instrumentos, son excepcionalmente
introducidos en los cálculos de verificación del SIF debido a la dificultad de
evaluar los modos y efectos de fallos y la falta de datos de tasas de fallos
sistemáticos. Sin embargo son muy importantes y pueden tener una repercusión
grave en el funcionamiento de nuestro sistema instrumentado de seguridad, por
ejemplo una válvula de corte de gas cuyo actuador no es capaz de mover la
válvula, si ocurre un evento peligroso la válvula no actuará. Por esta razón las
normas IEC 61511, IEC 61508 y la ANSI/ISA-84.01 incorporan en el ciclo de
vida conceptos de diseño e instalación, criterios de validación y test, y un criterio
gestión de cambio si este es necesario. Por lo que la verificación del SIL se basa
fundamentalmente en evaluar el rendimiento del SIS relacionados con los fallos
aleatorios y no los sistemáticos, de diseño. Si de todas formas se quiere
incorporar un valor de probabilidad de fallo sistemático al sistema, se puede
utilizar un único valor de probabilidad de fallo sistemático para toda la función,
ecuación 11. Este valor lo podemos obtener de la experiencia de lazos similares
que podamos obtener de bases de datos o bien de nuestra propia experiencia.
192
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
TI
PFDSIS = ∑ PFDS ,i + ∑ PFDLS + ∑ PFDFE ,i + ∑ PFDPS ,i + λDF × (11)
2
3. Si el tiempo de reparación de un componente redundante averiado se estima que
es corto, normalmente menos de un turno de operación (8 horas). El término que
incorpora la variable MTTR, y que se refiere a la probabilidad de que ocurra más
de un fallo mientras se está reparando un componente, se puede considerar nulo.
4. Los fallos de causa común, fallos debidos a fuentes de estrés como temperatura,
humedad, corrosión, vibración, interferencias electromagnéticas o eventos
externos como la caída de rayos, pueden ser obviados si son factores que
normalmente son tratados en fase de diseño usando componentes basados en la
experiencia de la planta.
Por tanto y derivado de las consideraciones anteriores podemos simplificar las
ecuaciones anteriores sin términos de múltiples fallos durante la reparación y sin los fallos
sistemáticos. Sí que dejaremos el término referente a los fallos de causa común, ya que
son de los que más datos se suele disponer y más modelos y tablas existen.
Las ecuaciones simplificadas para las arquitecturas más utilizadas en industria de
procesos (1oo1, 1oo2, 2oo3), teniendo en cuenta la posibilidad de utilizar elementos
redundantes con diferentes tasas de fallos (diversidad de componentes) son:
Configuración 1oo1
TI
PFDavg = λDU × (4a)
2
Configuración 1oo2
TI 2 TI
PFDavg = λ1DU × λ2DU × + β × λ1 × λ2 ×
DU DU
(6a)
3 2
Configuración 2oo3
TI 2 TI
PFDavg = λ1DU × λ2DU + λ1DU × λ3DU + λ2DU × λ3DU × + β × λ1 × λ2 × λ3 × (9a)
3 DU DU DU
3 2
Dónde:
λiDU es la tasa de fallo peligroso no detectado de cada componente. Un fallo
peligroso no detectado, impide que la función del sistema instrumentado de seguridad se
realice cuando sea demandada, o que no trabaje como se diseñó. Como ejemplos:
- Un medidor de presión con la rama de proceso obstruida. Si la función de
seguridad es actuar por alta presión, un evento en el proceso no será detectado y
por tanto no se realizará la función de seguridad diseñada.
193
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
- Un transmisor de medida que por fallo electrónico envía una señal fija. Según la
capacidad de diagnósticos del sistema este tipo de fallo podrá ser o no ser
detectado. Si se puede detectar pasará a ser un fallo peligroso detectado λiDD .
β es el factor de causa común. Es la fracción de fallos peligrosos en las que todas
las medidas o canales de control fallan debido a una causa común. Como ejemplo:
- Entrada de agua en un instrumento por un diseño defectuoso. Por ejemplo, en un
sistema 1oo2 es difícil que se produzca un fallo en los 2 instrumentos a la vez,
pero si el PLC no realiza un diagnóstico por comparación de señales en el sistema
1oo2, puede ocurrir que en el periodo de test de prueba de los instrumentos ( TI =1
año) se pueda producir el error en los 2 instrumentos.
Procedimiento básico para el cálculo del PFDavg de los sensores.
1. Identificar cada sensor que detecta una desviación fuera de las condiciones
normales de proceso y que lleva a que la SIF actúe en contra de esa desviación.
Sólo los sensores que prevengan o mitiguen la desviación designada se incluyen
en los cálculos del PFD.
2. Obtener los valores del MTTF DU para cada sensor.
3. Calcular el PFD para cada configuración de sensores usando el MTTF DU y las
ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de sensores para obtener el PFDS de la
función de seguridad evaluada.
Procedimiento básico para el cálculo del PFDavg de los elementos finales.
1. Identificar cada elemento final que protege una desviación fuera de las
condiciones normales de proceso y que lleva a que la SIF actúe en contra de esa
desviación. Sólo los elementos finales que prevengan o mitiguen la desviación
designada se incluyen en los cálculos del PFD.
2. Obtener los valores del MTTF DU para cada elemento final.
3. Calcular el PFD para cada configuración de elementos finales usando el
MTTF DU y las ecuaciones antes descritas considerando la redundancia adoptada.
4. Sumar los valores de PFD de cada grupo de elementos final para obtener el
PFDFE de la función de seguridad evaluada. Este paso sólo se realiza si la
función de seguridad evaluada requiere de múltiples elementos finales.
Procedimiento básico para el cálculo del PFDavg del revolvedor lógico (PLC de seguridad).
1. Identificar el tipo de revolvedor lógico usado.
2. Obtener el valor de MTTF DU del revolvedor lógico. Normalmente es un valor
dado por el fabricante.
3. El PFDLS es un valor que viene dado por el fabricante. Hoy en día en sistemas de
seguridad sólo se utilizan PLC’s de seguridad aprobados por organismos
independientes tipo TÜV que garantizan un SIL determinado. Como regla
general el PFDLS puede ser despreciado si el PLC es failsafe, PLC’s que en caso
de fallo lleva el proceso a un estado seguro.
194
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Configuración 1oo1
STR = λS + λDD + λSF (14)
Configuración 1oo2
[ ( )] [ (
STR = 2 × λS + λDD + β × λS + λDD + λSF )] (15)
Dónde: β es el factor de causa común, fracción de fallos que impactan a más de un
canal o un sistema redundante (causa común).
[ (
El término β × λS + λDD )] representa la tasa de fallos espurios debido a fallos de
causa común.
El término λSF es la tasa de fallo seguro debido a errores sistemáticos.
Configuración 1oo3
[ ( )] [ (
STR = 3 × λS + λDD + β × λS + λDD + λSF )] (16)
[ (
El término β × λS + λDD )] representa la tasa de fallos espurios debido a fallos de
causa común.
El término λSF es la tasa de fallo seguro debido a errores sistemáticos.
Configuración 2oo2
[ ( ) ] [ (
STR = 2 × λS × λS + λDD × MTTR + β × λS + λDD + λSF )] (17)
196
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Configuración 2oo3
[ ( ) ] [ (
STR = 6 × λS × λS + λDD × MTTR + β × λS + λDD + λSF )] (18)
Donde MTTR es el tiempo medio de reparación.
[ (
El término β × λS + λDD )] representa la tasa de fallos espurios debido a fallos de
causa común.
El término λSF es la tasa de fallo seguro debido a errores sistemáticos.
Configuración 2oo4
[ ( ) ] [ (
STR = 12 × λS + λDD × MTTR 2 + β × λS + λDD + λSF (19)
3
)]
Donde MTTR es el tiempo medio de reparación.
[ (
El término β × λS + λDD )] representa la tasa de fallos espurios debido a fallos de
causa común.
El término λSF es la tasa de fallo seguro debido a errores sistemáticos.
Consideraciones:
1. El término λDD , tasa de fallos peligrosos detectados, se incluye en el cálculo de la
tasa de paros espurios cuando el fallo peligroso detectado pone el canal (para un
sistema redundante) o de todo el sistema (para un sistema no redundante) en un
estado seguro (desenergizado), es decir, activa el sistema de seguridad. Si el fallo
peligroso detectado no lleva al sistema a un estado seguro, el término λDD no
debe tenerse en cuenta en las anteriores ecuaciones.
2. Las ecuaciones (17), (18) y (19) asumen que los fallos seguros pueden ser
detectados en línea (on-line). Si los fallos seguros sólo pueden ser detectados a
través de inspecciones y tests, el término MTTR debe ser sustituido por el
intervalo de test TI .
3. Para todos los cálculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo espurio. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
4. Los términos referidos a fallos sistemáticas seguras, son tratados de la misma
forma que para el cálculo de la probabilidad de fallos peligrosos (PFDavg)
(capítulo 7.6.3.1 apartado consideraciones). Por lo que si de todas formas se
quiere incorporar un valor de probabilidad de fallo sistemático al sistema, se
197
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Configuración 1oo2
STR = 2 × λS (15a)
Configuración 2oo2
( ) × MTTR
STR = 2 × λS
2
(17a)
Configuración 2oo3
( ) × MTTR
STR = 6 × λS
2
(18a)
4. Calcular el STR para cada configuración de sensores usando las ecuaciones antes
descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de sensores para obtener el STRS de la
función de seguridad evaluada.
Procedimiento básico para el cálculo del STR de los sensores.
1. Identificar cada elemento final que es controlado por el SIS.
2. Obtener los valores del MTTF spurious de cada elemento final.
3. Obtener los valores del MTTR de cada elemento final.
4. Calcular el STR para cada configuración de elementos finales usando las
ecuaciones antes descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de elementos finales para obtener el
STRFE de la función de seguridad evaluada.
Procedimiento básico para el cálculo del STR del revolvedor lógico (PLC de seguridad).
1. Identificar el tipo de revolvedor lógico usado.
2. Obtener el valor de MTTF spurious del revolvedor lógico. Normalmente es un valor
dado por el fabricante.
3. El STRLS es un valor que viene dado por el fabricante. Hoy en día en sistemas de
seguridad sólo se utilizan PLC’s de seguridad aprobados por organismos
independientes tipo TÜV que garantizan un SIL determinado. El MTTF spurious
para un revolvedor lógico es una función no-lineal por lo que el usuario suele
pedir el MTTF spurious como una función de MTTR , por lo que el usuario solo
especifica el rango del MTTR aceptable.
Procedimiento básico para el cálculo del STR de la fuente de alimentación.
1. En este apartado se refiere todas las fuentes de alimentación externas al SIS,
como UPS (sistema de alimentación ininterrumpida), generadores diesel, etc. Las
tasas de fallo seguro de las fuentes de alimentación internas del revolvedor lógico
deben estar incluidas en las tasas de fallo del revolvedor lógico. Si no fuese así se
deberían tener en cuenta.
2. Obtener el MTTF spurious de cada fuente de alimentación del SIS.
3. Obtener los valores del MTTF spurious de cada fuente de alimentación.
4. Obtener los valores del MTTR de cada fuente de alimentación.
5. Calcular el STRPS usando las ecuaciones antes descritas según redundancia.
Como podemos reducir la tasa de paros espurios (STR).
1. Utilizando redundancia adicional de componentes para asegurar la disponibilidad
de proceso.
2. Utilizando componentes más seguros, con valores de tasa de fallos espurios
menores.
3. Cualquier cambio que realicemos para aumentar la fiabilidad del sistema,
disminuir la tasa de fallo espurios requiere realizar de nuevo la evaluación del
199
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
PFDavg del sistema para confirmar que se cumple con el SIL objetivo requerido
en las especificaciones de seguridad.
200
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
13. El valor objetivo “target” del PFDavg y MTTFspurious se define para cada SIF
implementada en el sistema.
14. Las ecuaciones asumen un camino de degradación, es decir un sistema 2oo3
degrada como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y
un segundo fallo degrada a parada.
15. Por último se asume que el usuario ha de estar familiarizado con las técnicas de
verificación SIF y tiene un conocimiento general de la utilización de las bases de
datos de tasas de fallos, análisis de modos de fallo y de efectos, y evaluación de la
causa común y la cobertura de diagnóstico.
Bibliografía y referencias:
[1] ISA-TRS84.00.02-2002-Part2, Safety Instrumented Functions (SIF) – Safety Integrity Level (SIL).
Evaluation Techniques Part 2. ISA-The Instrumentation, Systems, and Automation Society, 2002.
[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3] Fiabilidad y Seguridad: Su aplicación en procesos industriales. Antoni Creus i Solé. 2ª edición.
MARCOMBO, 2005.
[4] Seminario: Functional Safety for the Process Industry. TÜV SÜD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
[5] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com.
[6] Simplified Methods and Fault Tree Analysis of Safety Instrumented Systems. Staff from Premier
Consulting Services. INVENSYS performance solutions.
Del análisis HAZOP realizado para el ejemplo, de todos los fallos con consecuencias
importantes que se sugieren se analiza el caso de pérdida o exceso de flujo en la línea de
gas natural a los pilotos (color rojo). El diagrama P&I mostrado en la figura 7.6.3.3 nos
muestra el resultado final tras realizar el HAZOP, después de realizar la verificación del
SIL objetivo para la función por cálculo de PFDavg con el método de ecuaciones
simplificadas. Los lazos en verde representan variaciones del proceso que han de ser
analizadas en el HAZOP, como parte de otras funciones de seguridad y que pueden tener
consecuencias importantes de seguridad 2.
A continuación se muestra el resultado del estudio HAZOP (el estudio del HAZOP
para esta función de seguridad es un caso real).
1 HAZOP aproximado para la realización del ejemplo. Se analizará sólo una SIF.
La obtención del valor objetivo SIL se realizará por medio de la matriz de riesgos
(ver capítulo 7.3 Definir SIL objetivo).
203
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Otras consideraciones:
Cumplimiento reglamentario: Las válvulas de aislamiento en las líneas de fuel gas y
gas natural a quemadores y pilotos se han de instalar con doble válvula de corte y venteo
intermedio a través de un borboteo conectado a colector de antorcha aguas arriba del
colector de presión con el fin de aislar las líneas de gas a pilotos y quemadores. Asimismo
estas válvulas han de tener un reset local cercano a las válvulas (HS 03). Las válvulas
tendrán indicación de posición a través de finales de carrera. A fallo de energía cierran
(posición de seguridad cerrada). Según norma NFPA 85.
Del Análisis HAZOP obtenemos las funciones de seguridad a implementar en el
Sistema Instrumentado de Seguridad. En el caso de la llama piloto, una variación del flujo
de gas natural a las llamas piloto puede provocar que estas se apaguen. La seguridad del
sistema vendrá dado por la lectura de presión de la línea, una fluctuación en la presión de
la línea implica una variación del flujo de gas natural. La variación de presión puede
provocar que los pilotos se extingan con el potencial de crear una atmósfera explosiva en el
hogar del horno.
Análisis SIL: Baja presión de gas natural a pilotos.
Evaluación de seguridad:
Matriz de riesgos:
204
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Según la norma IEC 61511 y la ANSI/ISA 84.01, un sistema de válvulas block and
bleed (bloque y purga) es considerado un sistema 1oo2.
Se han realizado las siguientes suposiciones:
1. La SIF ha sido diseñada como desenergizar para paro.
2. Todos los componentes redundantes tienen la misma tasa de fallos.
3. Hay redundancia externa de fuentes AC de alimentación.
4. El PFDavg y el MTTFspurious para el PLC de seguridad redundante es dado por el
fabricante y se asume un valor de 0.00005 y 100 años respectivamente.
5. Intervalo de test funcional de 12 meses (TI).
6. MTTR de 8 horas, se supone una reparación perfecta.
7. Errores sistemáticos y de causa común se estiman negligibles.
205
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
STR PS = 0.05
MTTFspurious del sistema:
1
Eq. (21); spurious
MTTFSIS =
STRSIS
207
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1. General
1.1 En general se cumplirán todos los requerimientos de la norma IEC 61511. Estos
requerimientos se detallan en la guía global de la compañía.
2. Personal
2.1 Sólo personal cualificado y entrenado participará en la realización de las diferentes
actividades englobadas en ciclo de vida de seguridad.
2.2 Todos los resultados de las actividades de las diferentes etapas definidas en el ciclo
de vida han de ser verificadas por una segunda persona que no haya estado
directamente involucrada en la actividad (principio de los 4 ojos). Estas etapas se
definen en detalle en la IEC 61511.
3. Análisis de riesgo de proceso para sistemas instrumentados
3.1 Se utilizará el método HAZOP principalmente, como alternativa podrá utilizarse el
método árbol de fallos para la realización del análisis de riesgo.
208
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
3.2 Se usará la matriz de riesgos para asignar un valor objetivo SIL (nivel integro de
seguridad) a cada caso.
3.3 Sólo funciones con SIL 2 o SIL 3 serán implementadas como funciones de seguridad
de un sistema instrumentado. Las funciones con un SIL < 2 se considerarán como
funciones de monitorización y alarma y se implementarán en el sistema básico de
control de proceso (BPCS, normalmente un DCS). Funciones con un SIL > 3
requerirá una modificación del diseño del proceso o bien el uso de otros sistemas de
protección además del sistema instrumentado de seguridad.
3.4 El diseño deberá ser fijado y verificado en el paso 3 (Safety Review Process) para
cumplir con el SIL objetivo especificado (ver Figura 7.1.3. Ciclo de Vida de
Seguridad SIS ejemplo). Finalmente antes del start-up el diseño final instalado debe
ser verificado y validado en el paso 4 (PSSR). La disponibilidad y fiabilidad de una
función de seguridad dependerá de los equipos y arquitectura seleccionada, del
intervalo y método de test definido, del tiempo medio de reparación de componentes
(MTTR) y de la cobertura de diagnóstico y fallos de causa común.
3.5 Todos los resultados obtenidos en los pasos de revisión de seguridad de cada etapa
(safety review) han de estar documentados.
4. Implementación del Sistema Instrumentado de Seguridad
4.1 Sólo deben utilizarse instrumentos y equipos de campo que estén aprobados por la
compañía y por tanto que formen parte de la lista estándar de equipos. Los equipos
que no formen parte de la lista estándar aprobada por la compañía solo podrán
utilizarse si:
- se puede demostrar que el equipo es un equipo “proven in use” (uso probado) en
una planta química sin haber tenido ningún fallo peligroso en el último año y
- es aceptado por el comité de expertos regional encargado de establecer las
normas y redactar las guías.
4.2 Si se utilizan las arquitecturas típicas estándares aprobados por la compañía y los
equipos pertenecientes a la lista estándar, no será necesario realizar los cálculos de
disponibilidad ni fiabilidad de la función de seguridad. El estándar de la compañía ya
nos dará en función de los elementos escogidos los test de frecuencia permitidos,
MTTR’s, y que valor SIL es alcanzado (ver capítulo 7.6.4.1 Arquitecturas típicas).
4.3 Todos los componentes de las SIF y componentes que son parte del SIS deben estar
claramente marcados. En la documentación se diferencian como elementos Clase A,
y en campo utilizando distintivos físicos.
209
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
210
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
211
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
213
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
214
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
3 2
Donde λiDU = λ × (1 − DC )
Y donde el PFDavg de la función instrumentada será:
PFDSIS = ∑ PFDS ,i + ∑ PFDLS + ∑ PFDFE ,i (1)
Dónde:
- PFDSIS es el PFDavg para la función de seguridad específica SIF en el SIS.
- PFDS es el PFDavg del sensor para la función de seguridad específica SIF en el SIS.
- PFDFE es el PFDavg del elemento final para la función de seguridad específica SIF
en el SIS.
- PFDLS es el PFDavg del resolvedor lógico (PLC de seguridad) del SIS. Como regla
general si el PLC utilizado es un SPLC (PLC fail safe) su contribución es despreciable, ya
que cualquier fallo nos llevará a una posición de seguridad.
- i representa cada grupo de componentes que es parte de la específica SIF.
Por lo que las únicas variables que necesito para el cálculo del PFDavg son:
λ: tasa de fallos del dispositivo.
β: factor de causa común.
DC: Cobertura de diagnóstico. Fracción de fallos que son detectados por
diagnósticos no realizados por el elemento de campo, por ejemplo en el SPLC.
Bibliografía y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related
Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998
[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
217
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Cualquier cambio o modificación que se realice en algún equipo específico del SIS
durante la instalación, comisionado o PSAT requiere volver a realizar el estudio de
seguridad correspondiente y debe estar debidamente documentado y consensuado.
La instalación del sistema incluye todos los elementos hardware relacionados con el
SIS como sensores, elementos finales de control, cableado de campo, cajas de conexiones,
armarios de instrumentación, PLC de seguridad, interfaces con el operador, sistemas de
alarmas, etc.
Para garantizar una correcta instalación y comisionado del sistema el contratista debe
proporcionar y establecer unas pautas y puntos de trabajo como:
• Las actividades de instalación y comisionado.
• Procedimientos, técnicas y medidas a usar para la instalación y comisionado.
• Planificación de esas actividades.
• Personas, departamentos y organismos responsables para esas actividades.
Y como requerimientos generales relacionados con el proceso de instalación se
recomienda:
• Considerar la instalación del SIS de manera separada a otros trabajos eléctricos o
de instrumentación de otros sistemas que puedan tener lugar, aunque el
contratista ejecutor de la instalación sea el ejecutor de estos otros trabajos. De
esta manera minimizaremos posibles problemas de causa común en la instalación
y se refuerza la visión de criticidad del sistema de seguridad que se instala.
• Asegurar que el diseño entregado al contratista esta completo y correcto. Es
importante que el contratista este altamente cualificado y experimentado en este
tipo de instalaciones.
220
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
• Todos los dispositivos y equipos deben ser instalados según las recomendaciones
de los fabricantes y de manera que permitan un fácil acceso para mantenimiento y
pruebas.
• El contratista no debe realizar ningún cambio de material sin ser autorizado y
aprobado por la ingeniería del sistema.
• El contratista no debe realizar ningún cambio en la calibración de los equipos de
campo existentes.
• Proteger los dispositivos y equipos de campo de daños físicos y
medioambientales antes de la instalación.
El comisionado asegura que el SIS se ha instalado conforme al diseño detallado.
Constituye un chequeo físico que confirma que los equipos, dispositivos y cableados se
encuentran instalados de acuerdo al diseño y que los dispositivos de campo son operativos
y por tanto el sistema está listo para realizar las PSAT (Pre-Start Acceptance Test), para
poder concluir con la validación del sistema.
El chequeo de la instalación se puede separar en dos diferentes fases:
1. Comprobación del dispositivo y cableado de campo. Se trata de comprobar como
el dispositivo de campo esta físicamente instalado, cableado, continuidad en el
cableado, cajas de conexiones, etiquetado, terminales, etc. Normalmente el
contratista termina esta fase sin energía en el sistema y por tanto sin comprobar
funcionalidad.
2. Comprobación funcional de los equipos y dispositivos. Comprobación funcional
de los dispositivos de campo y del sistema lógico después que el SIS ha sido
conectado y energizado.
El propósito final es confirmar que:
• Las fuentes de energía son operativas.
• Los equipos y cableado han sido adecuadamente instalados.
• Los instrumentos han sido adecuadamente calibrados.
• Los dispositivos de campo son operativos.
• El PLC de seguridad y los módulos entrada/salida son operativos.
Existen varias publicaciones IEC que contienen procedimientos y formularios para
llevar a cabo las comprobaciones mencionadas y que ayudan a asegurar la correcta
instalación y chequeo de los dispositivos como la IEC62381 ed. 1.0 2004. Activities during
the factory acceptance test (FAT), site acceptance test (SAT) and site integration test (SIT)
for automation systems in the process industry.
SAT 1 (Pruebas de aceptación en el sitio): Inspección y pruebas en la planta para
validar que el sistema instrumentado de seguridad instalado, así como sus funciones
instrumentadas de seguridad, logran cumplir las especificaciones de los requerimientos de
seguridad. Ver capítulo 7.8.1 PSAT (Pre-Start Acceptance Test).
SIT 1 (Pruebas de integración en el sitio): Una vez completadas las pruebas SAT del
SIS, se integran las comunicaciones entre BPCS y el SIS, así como cualquier otro tipo de
comunicación. El sistema integrado es probado como uno solo para garantizar que trabaja
adecuadamente. Las señales del SIS, diagnósticos, alarmas desplegadas en las pantallas de
control del BPCS (HMI) deben ser probadas.
A continuación se muestra un esquema a modo de información de las diferentes
etapas para la correcta integración del sistema BPCS y SIS.
223
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
Todos los equipos usados para la calibración y pruebas deben presentar certificados
de calibración por parte del contratista encargado de realizar las PSAT o bien por parte de
la propiedad si fuese el caso.
La documentación requerida una vez realizado el comisionado y las pruebas PSAT
dependen de la complejidad del sistema de seguridad y de los documentos elaborados por
el equipo del diseño, pero como mínimo la documentación debe incluir de forma general:
• Identificación de que el SIS ha sido probado.
• Confirmación de que el comisionado esta completado y finalizado.
• Fecha de realización de las PSAT.
• Aceptación por parte de la propiedad. Firma autorizada que confirma que las
PSAT han sido realizadas y completadas satisfactoriamente.
• Referencia de los procedimientos utilizados en las PSAT.
Normalmente cuando un sistema completo se está probando es necesario realizar y
seguir procedimientos detallados de pruebas, por lo que habitualmente precisaremos de la
siguiente documentación como apoyo a la validación del SIS, aparte de la documentación
mínima mencionada anteriormente:
• Procedimientos de validación.
• Copia de las especificaciones de los requisitos de seguridad.
• Listado de la programación del PLC de seguridad.
• Diagrama de bloques del sistema.
• Lista completa de entradas/salidas.
• Diagramas de proceso e instrumentación (P&ID).
• Índice de instrumentos.
• Hojas técnicas de los equipos.
• Diagramas de lazo.
• Esquemas eléctricos.
• Configuración del sistema básico de control (BPCS) para cualquier entrada/salida
del SIS.
• Planos de implantación de los principales equipos.
• Diagramas de conexiones en cajas de conexión y armarios, así como las
interconexiones y terminales de todo el cableado.
• Diagrama de tubings y sistema neumático.
• Documentación del fabricante de los equipos, incluyendo manuales.
Si durante las pruebas PSAT existiese alguna discrepancia y no se cumpliese con los
requisitos establecidos durante el diseño se deben estudiar las implicaciones sobre la
integridad del sistema que conlleva y evaluar si es necesario regresar a alguna etapa
anterior del ciclo de vida de seguridad. Si el fallo es debido a algún problema con los
equipos, se debe documentar el fallo y corregirse.
224
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
En esta etapa del ciclo de vida de seguridad ya hemos comprobado que el sistema
instrumentado de seguridad trabaja correctamente según las especificaciones requeridas.
Aquí finalizaría la fase “Realización” o “Implementación”, con el SIS instalado y listo para
ser puesto en servicio. Solo nos quedaría comprobar que el plan de mantenimiento este
realizado y sea acorde con los periodos establecidos en las SRS y realizar una última
revisión de seguridad llamada PSSR (Pre-Start Safety Review) para poder poner en
servicio el SIS (Capítulo 7.9 Operación y Mantenimiento).
Bibliografía y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[4] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com
225
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
227
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
228
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
1 En el capítulo 7.5.12 Mantenimiento y pruebas funcionales se dió una visión general del porque de
estas pruebas, como inciden en el cálculo del nivel de integridad de seguridad objetivo deseado y como
establecer un periodo de pruebas que se ajuste a las necesidades del sistema y de la planta.
229
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
230
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.9.3.2 Documentación
El ingeniero E&I archivará todos los informes, se recomienda en formato electrónico
y en papel, que certifican que las pruebas funcionales de seguridad e inspecciones han sido
realizadas como es requerido. Los informes, como mínimo, deben contener la siguiente
información:
• Número Tag.
• Intervalo de test.
• Descripción del test e inspección realizada.
• Fecha de realización del test e inspección.
• Firmas de las personas que realizan el test e inspección.
• Firmas del ingeniero de planta E&I y del Plant Manager.
• Resultado del test e inspección.
(ANEXO N: Pruebas de Lazo Clase A)
Bibliografía y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[4] Sistemas Instrumentados de Seguridad. Evolución, diseño y aplicación. Ing. Roberto E. Varela.
Soluciones en Control SRL, setiembre 2003.
[5] EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems.
www.emersonprocess.com
1
La universidad URV de Taragona dispone de Cátedra Enresa-URV de Seguridad Industrial donde se
describen algunos casos de accidentes catastróficos sucedidos en los últimos años.
231
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
reactores, se optó por bypasear el reactor con una tubería temporal con el fin de mantener
la producción y sacar de línea el reactor para ser reparado.
No se consultó a ningún ingeniero especializado en seguridad ni en proceso. El único
diseño que se realizó sobre el cambio fue un plano dibujado con una tiza en el suelo del
taller. Una vez modificado el proceso se realizó un test de presión neumático a 127 psig en
lugar de un test hidráulico y a una presión de 156 psig, como marcaba el límite de la
válvula de seguridad del proceso, por lo que se violaban los estándares y guías británicas
del momento. La tubería funcionó durante aproximadamente 2 meses hasta que hubo un
ligero incremento de presión (por debajo del punto de disparo de la válvula de seguridad)
que causó flexión en la tubería de tal forma que fue suficiente para expulsar la tubería y
dejar las dos bridas de 28 pulgadas abiertas, produciendo una nube de gas que explosiono
con el resultado de 28 muertes y 36 heridos de gravedad, destrucción de la planta,
destrucción de edificios en un área de 600 metros, rotura de cristales en un área de 12
kilómetros y fuego en la planta durante 10 días que obstaculizó las labores de rescate.
Como principal lección que podemos tomar es que todas las modificaciones deben
ser diseñadas y revisadas por personal cualificado y que hay que seguir procedimientos
estrictos de gestión de cambios 1 para analizar el impacto de los cambios.
OSHA 29 CFR 1910.119 “Process Safety Management of Highly Hazardous
Chemicals” requiere establecer e implementar procedimientos escritos para gestionar los
cambios en procesos químicos, en la tecnología, equipos y procedimientos, y cambios en
las instalaciones que afecten al proceso.
ANSI/ISA 84.00.01 establece que los procedimientos de la gestión de
modificaciones deben estar realizados para poder iniciar, documentar, revisar, implementar
y aprobar los cambios en el sistema instrumentado de seguridad antes de realizar el
cambio.
IEC 61511 Parte 1 Claúsula 17 establece los requerimientos para las modificaciones
del sistema instrumentado de seguridad.
En ambas normas y estándares no aplica a los cambios en especie “replacement in
kind”, es decir, por ejemplo, un instrumento por otro igual (misma tasa y modo de fallos) y
realizando la misma función.
justificar seguir los procedimientos MOC. Los fabricantes tienen la capacidad de modificar y agregar
funcionalidad a los dispositivos a través de cambios de software. Normalmente es el fabricante quien
gestiona que los cambios no distorsionan la seguridad requerida.
2 Existen numerosos videos, reportajes y reseñas donde se enumeran la serie de eventos que condujo al
desastre. Uno de los documentales más técnico y relacionado con el sistemas de seguridad lleva por nombre
“Piper Alpha, la espiral hacia el desastre” realizado por Coastal Training Technologies Corportaion. Se trata
de un documental básico para entender la importancia de procedimentar la gestión de cambios.
233
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.10.3 Documentación
Las modificaciones que se realizan en un sistema instrumentado de seguridad han de
estar debidamente documentadas y mantenidas para todo el personal que trabaje con el
sistema. La documentación al menos ha de incluir:
• Una descripción de la modificación.
• Motivo de la modificación.
• Peligros que pueden verse afectados.
• Análisis del impacto de la modificación en el sistema instrumentado de
seguridad.
• Todas las aprobaciones que se han reunido hasta la implementación del cambio.
• Documentación del diseño (hardware y software).
• Aplicación lógica.
• Las pruebas utilizadas para verificar que la modificación se ha implementado
adecuadamente y que el sistema instrumentado de seguridad trabaja como es
requerido, y los resultados. Similar a un pre-strat acceptance test (PSAT).
• Las pruebas utilizadas para verificar que la modificación no ha tenido impacto en
el resto del sistema instrumentado de seguridad, y los resultados.
• Procedimientos de operación y mantenimiento actualizados.
• Documentación secundaria afectada por el cambio como manuales, planos,
registros de instrumentos, recomendaciones de recambios, etc.
• Realización de las especificaciones de los requisitos de seguridad del cambio
realizado y sistema que se haya visto afectado.
Por último y muy importante, eliminar toda la documentación obsoleta. Esta
documentación solo puede producir errores en trabajos de operación, mantenimiento,
futuras modificaciones, etc.
Bibliografía y referencias:
[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
234
Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad
7.10.4 Decomisionado
El decomisionado de un sistema instrumentado de seguridad no deja de ser una
modificación del SIS. Cuando un SIS es desactivado, se requieren los mismos pasos y
procedimientos del MOC, de forma que se asegure que otros sistemas o procesos que
puedan estar relacionados con el sistema a decomisionar no se vean afectados, por lo que
todas las actividades de decomisionado requiere procedimentales como un cambio y ser
dirigido como una actividad de modificación del sistema instrumentado de seguridad.
235
Anexos Anexo A: Vista general del Ciclo de Vida
8 ANEXOS
236
Anexos Anexo A: Vista general del Ciclo de Vida
Requisitos de
seguridad del SIS.
237
Anexos Anexo B: Ejemplo HAZOP Sistema Antorcha
1 EBDD: sitema de Emergencia, Bloqueo, Drenaje y Despresurización que se activa de forma manual
para reducir riesgos en diferentes unidades de fraccionamiento de la planta.
238
Página intencionadamente en blanco: Tratamiento confidencial
Anexos Anexo C: Respuestas a las Recomendaciones
240
Anexos Anexo D: Asignación SIL: Matriz de Riesgo
241
Anexos Anexo E: P&ID
242
Anexos Anexo F: CEM; Matriz Causa Efecto
243
Anexos Anexo G: SRS: Especificaciones para las SIF
244
Anexos Anexo H:Cálculo SIL; Verificación
8.8.1 SIF Nº 1:
245
Anexos Anexo H:Cálculo SIL; Verificación
[(
PFDavg = λDU ) × TI
2 2
]+ [3λ DU
] TI TI
× λDD × MTTR × TI + β × λDU × + λDF ×
2 2
[ ( ) ] [ (
STR = 6 × λS × λS + λDD × MTTR + β × λS + λDD + λSF )]
PFDavg,s = 2.918E-06 SIL 3
HFT= 1
MTTFS,S = 34274 años
.
La válvula por su condición fail safe retorna a su posición de seguridad a falta de
energía por lo que el análisis se centrará en la disponibilidad y fiabilidad de la electroválvula.
La electroválvula ASCO tipo 551 está certificada por EXIDA para aplicaciones hasta
SIL 3.
Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves
used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los
siguientes resultados:
Clasificación del equipo solenoide: TIPO A (Ver IEC61508 parte 2 sección 7.4.3).
Basándonos en el análisis (SFF entre 60 y 90%) el elemento alcanza SIL 3 con HFT=1
y SIL 2 con HFT=0.
246
Anexos Anexo H:Cálculo SIL; Verificación
Votación: 1oo1
HFT: 0
MTTR 8 horas
Intervalo de test 6 meses
β -
Cobertura de test 100%
Utilizando el método de las ecuaciones simplificadas:
TI TI
PFDavg = λDU × + λDF × STR = λS + λDD + λSF
2 2
247
Anexos Anexo H:Cálculo SIL; Verificación
8.8.2 SIF Nº 2:
Parte Sensor:
1 transmisor de presión con votación 1oo1 por baja presión (1.2 barg). Transmisor de
presión Fisher Rosemount (EMERSON) tipo 2088G.
Del análisis FMEDA realizado por EXIDA (Project: 2088 pressure transmitter)
obtenemos los siguientes resultados:
Clasificación del transmisor de presión: TIPO B (Ver IEC61508 parte 2 sección 7.4.3).
Basándonos en el análisis (SFF entre 60 y 90%) el elemento alcanza SIL 1 con HFT=0
(1oo1).
FIT is the abbreviation for Failure In Time. One FIT is 1E-09 failure per hour
248
Anexos Anexo H:Cálculo SIL; Verificación
TI TI
PFDavg = λDU × + λDF × STR = λS + λDD + λSF
2 2
PFDavg,s = 5.52E-04 SIL 3
HFT= 0
MTTFS,S = 313 años
249
Anexos Anexo H:Cálculo SIL; Verificación
Resultado para la función de seguridad SIF Nº2 con arquitectura 1oo1 en parte sensor y
1oo1 en parte elemento final:
PFDSIF = ∑ PFDS ,i + ∑ PFDLS + ∑ PFDFE ,i
1
MTTF spurious =
STRSIF
250
Anexos Anexo H:Cálculo SIL; Verificación
251
Anexos Anexo I:Hojas Técnicas
252
Anexos Anexo J:Lazos de Control
253
Anexos Anexo K: Diagramas Lógicos
254
Anexos Anexo M: Sinópticos BPCS
255
Anexos Anexo N: Pruebas de Lazo de Seguridad
256
Anexos Anexo O: PSSR Pre-Start Safety Review
257
Anexos Anexo P: Protección de la información SIS
258
Anexos Anexo P: Protección de la información SIS
259