Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Análisis Del Método RBD para La Determinación de La PFD de Los Elementos de Una SIF-Rev. 01-LEPV PDF
Análisis Del Método RBD para La Determinación de La PFD de Los Elementos de Una SIF-Rev. 01-LEPV PDF
Resumen
Dentro del marco de las actividades del Ciclo de Vida de Seguridad de un Sistema
Instrumentado de Seguridad, existe la necesidad de conocer el desempeño, en
términos del Nivel de Integridad de la Seguridad (Safety Integrity Level SIL), de cada
Función Instrumentada de Seguridad (SIF) que lo conforman. Por lo tanto, es
necesario cuantificar la falla aleatoria de la función tomando en cuenta todos y cada
uno de los elementos o subsistemas que están presentes en la SIF. En el presente
post, se muestra como cuantificar la Probabilidad de Falla en Demanda Promedio (
1. Introducción
Cuando los procesos o sistemas críticos que se utilizan en la industria nuclear,
química, petróleos, etc no son apropiadamente controlados o mantenidos pueden
dejar de funcionar y, en algunos casos, llevar al Proceso Bajo Control (EUC) a un
riesgo significativo para la seguridad de personas, medio ambiente y financiero. Los
Sistemas Instrumentados de Seguridad o SIS, como se les conoce, son sistemas
diseñados para reducir el riesgo del proceso cuando existen desviaciones de sus
variables o malfuncionamiento de algún equipo o instrumento.
El hardware de un SIS está compuesto principalmente por tres subsistemas,
subsistema de sensado, subsistema de resolvedor lógico y subsistema de actuación;
como se muestra en la figura 1. El subsistema de sensado monitorea el proceso
crítico, examinando condiciones potencialmente inseguras; el resolvedor lógico
1
interpreta las entradas del subsistema de sensado y ejecuta determinadas acciones
mediante el subsistema de actuación.
El estándar IEC-61508, publicado en el año 1997 y actualizado en 2010, ha sido
adoptado por muchos países como una norma de carácter nacional. En este se
muestran 2 conceptos muy importantes: el Ciclo de Vida de Seguridad y el Nivel de
Integridad de la Seguridad (Safety Integrity Level, SIL). Como procedimiento dentro
del Ciclo de Vida de Seguridad es necesario realizar la cuantificación de la falla
aleatoria que, comúnmente, se conoce como verificación del SIL, de cada SIF que
conforman al SIS, de tal manera de confirmar que la Probabilidad de Falla en
2
(FMEA), Diagrama de Bloques de Confiabilidad (RBD), Análisis de Markov, técnicas
mixtas, etc. El uso de cada técnica tiene sus ventajas y desventajas.
es necesario expresar como la cual indica un valor promedio sobre el intervalo
de prueba de la SIF
; (1)
análisis de riesgo del proceso, la de la SIF diseñada debe ser menor al valor
límite indicado en la tabla 1, según sea el caso.
3
Probabilidad de
Nivel de Falla en Reducción de
Integridad de Demanda Riesgo
Seguridad (SIL) Promedio Requerida
(PFDavg) (FRR)
≤100.000
≥10−4 a <10−3 >1.000 a
3 ≤10.000
≥10−3 a <10−2
2 >100 a ≤1.000
≥10−2 a <10−1
1 >10 a ≤100
4
y cumplir con su intención de diseño; sin embargo, está claro que podría darse una
falla de causa común que afectaría a ambos componentes y en esa circunstancia, el
sistema deja de ser confiable, por lo que, ante una demanda él no podrá llevar al
proceso a modo seguro, tal esquema se muestra en la siguiente figura:
5
i) Para cada subsistema hay un único intervalo de prueba y un tiempo medio
para la restauración.
j) Se considera que se encuentra disponibles múltiples grupos de reparación
para trabajar en todas las fallas conocidas.
k) El intervalo esperado entre las demandas es por lo menos un orden de
magnitud mayor que el tiempo medio para la reparación.
detectadas Las tasas de falla seguras son justamente las que llevan a modo
seguro; por otro lado, las fallas peligrosas pueden detectarse mediante diagnóstico y
justamente coincide con el criterio de la cobertura de diagnóstico definido
anteriormente. Por lo tanto, las fallas peligrosas no detectadas son aquellas que
debemos estudiar y determinar y este valor es el que nos indica cuán confiable es el
equipo para las aplicaciones de seguridad. La norma IEC-61508 introduce el término
fracción de falla segura SFF definido como:
;
(2)
para identificar las características de confiabilidad de un determinado dispositivo que
será utilizado de una Función Instrumentada de Seguridad.
6
Fig.3 División de la tasa de fallas total
peligrosas que evitan que el SIS funcione cuando se precise que así lo
haga; es decir, ante una demanda. En el análisis se puede considerar que para cada
SIF existe una prueba de funcionamiento periódica en un tiempo Ti y también existe
una reparación perfecta, por lo que todas las fallas no detectadas se descubren
mediante una prueba periódica de la SIF. Cuando se produce una falla, se presupone
que en promedio ocurre en el punto intermedio del intervalo de prueba periódica; en
otras palabras, la falla sigue sin detectarse durante el 50% del período de prueba.
Tanto para fallas peligrosas no detectadas y peligrosas detectadas, el tiempo medio
improductivo o MDT depende del intervalo de prueba Ti, el tiempo medio de
reparación MTR y del tiempo medio hasta el restablecimiento MTTR.
(las más peligrosas) y las fallas peligrosas detectadas. Ambas dan como resultado
7
el denominado tiempo medio improductivo cuya tasa de falla es y es posible
calcularlo sumando los tiempos medios improductivos en directa proporción respecto
a la contribución de la probabilidad de falla del canal, es decir:
;
(3)
;
(4)
Sea un elemento del cual se desea obtener la para diferentes valores de la
cobertura de diagnóstico DC y se conoce que la tasa de
restablecimiento .
8
Mediante el uso de la ecuación 4, se puede observar además que la aumenta
denota la fracción de fallas no detectadas que tienen causa común . Ahora, para el
9
caso de fallas detectadas por diagnóstico de causa común . Estos valores son
fracciones que se consideran igual entre 5% al 10% del total de fallas peligrosas del
equipamiento.
El tiempo medio improductivo MDT para esta arquitectura está definida como:
;
(5)
con esta arquitectura el tiempo de parada del conjunto se reduce a la mitad
de .
Cuando un canal o elemento falla de forma peligrosa, el conjunto pasa a un estado de
operación degradada y, aun así, puede desempeñar la función de seguridad
especificada ante una demanda con el que queda operando, si este segundo
elemento falla de forma peligrosa entonces todo el grupo falla y la función no podrá
ejecutar la función de seguridad.
;
(6)
Ejemplo:
puede ver la se reduce notablemente cuando se utiliza arquitectura con
votación.
10
4.3 Arquitectura 2oo2
Esta arquitectura consiste en dos elementos conectados en serie, por lo tanto, ambos
canales son necesarios para ejecutar la función de salida ante una demanda. La
figura muestra el RBD para la arquitectura 2oo2; donde, la está dada por:
; (7)
11
La figura 7 y 8 muestran la arquitectura para una votación 2oo3.
; (8)
; (9)
12
;
(10)
Ejemplo
5. Conclusiones
Hemos observado como la metodología RBD puede ser aplicada para la
determinación cuantitativa de la de los elementos que participan en una SIF;
aun cuando se encuentran en configuración de votación.
El modelo de RBD refleja la estructura de confiabilidad del sistema o subsistema en
estudio; es intuitivo y relativamente fácil de desarrollar.
Un siguiente paso es abordar el estudio de arquitecturas de votación como 1oo3,
2oo4; y cuando disponen de diagnóstico como 1oo2D, oo3D.
6. Bibliografía
Guo H., Yang X. “A simple reliability block diagram
method for Safety integrity verification”. Reliability Engineering and
[1] Systems Safety 92 (2007). Elsevier.
Creus A., “Fiabilidad y Seguridad”, Marcombo Ediciones
[2] técnicas, 2da Edición 2005
Fernandez I. et al. “Sistemas Instrumentados de
[3] Seguridad y análisis SIL”, ISA Sección España Diaz de Santos. 2012
[4] Magnetrol. “Understanding Safety Integrity level”
13
Special application Series.
IEC 61508. “Functional safety of electrical/electronic/programable
electronic safety-related systems. Part 6. Guideline on the Applications of
[5] IEC-61508-2 and IEC-61508-3.
IEC 61511. “Functional safety” safety instrumented systems
[6] for process industry sector, Part 1, part 2 and Part 3.
14
Tolerance)
0 1 2
< 60 % SIL 1 SIL 2 SIL 3
60 a 90 % SIL 2 SIL 3 SIL 4
90 % a 99 % SIL 3 SIL 4 SIL 4
≥ 99 % SIL 3 SIL 4 SIL 4
Tabla 2. Tolerancia de Falla por Hardware. Dispositivos Tipo B. IEC 61508-2010
Tolerancia de falla de Hardware (Hardware Fault
Tolerance)
SFF 0 1 2
< 60 % No se permite SIL 1 SIL 2
60 a 90 % SIL 1 SIL 2 SIL 3
90 % a 99 % SIL 2 SIL 3 SIL 4
≥ 99 % SIL 3 SIL 4 SIL 4
El SFF de un elemento dado, está establecido por la relación de las tasas de fallas
que son seguras (pueden ser detectadas), y viene dada por la ecuación 1.
Ecuación 1:
Siendo:
15
Si se tienen elementos en serie, el máximo SIL que se puede reclamar
para ese subsistema es el determinado por el de menor SIL. (Ver
ejemplo 1)
Si se tienen elementos en paralelo, el máximo SIL que se puede
reclamar es el del mayor más uno (1). (Ver ejemplo 2)
Ejemplo 1:
Si se tienen 3 elementos en serie: A, B y C, y de acuerdo con las tablas de la norma
IEC 61508 para el HFT, el máximo SIL permitido de cada elemento es SIL 1, 3 y 1
respectivamente, como se ve en la Figura 1, el máximo SIL permitido para este tipo
de subsistema es de SIL 1, independientemente de la PFD avg alcanzada, como se
muestra en la Figura 2.
16
Figura 4. Arquitectura en Paralelo.
La Ruta 2H, y las restricciones de capacidad sistemática (Sistematic Capability), serán
tratadas en el próximo Post.
17
Para diseñar, mantener y operar, de forma adecuada, un Sistema Instrumentado de
Seguridad (SIS), que es hoy día uno de los principales sistemas automatizados
utilizados en la seguridad, se deben tomar en cuenta todas las causas que pudieran
afectar su funcionamiento. Una adecuada gestión de la seguridad funcional que
permita controlar las fallas aleatorias (asociadas a la degradación del hardware) y
evitar las fallas sistemáticas (usualmente asociadas al factor humano) es esencial.
Esto implica el uso de materiales de primera, procesos de diseño y fabricación de alta
calidad, es decir, hacer un diseño que sea lo suficientemente robusto para soportar
cualquier fuente de estrés y generar nuevas formas de trabajo que permitan realizar
las tareas de diseño, fabricación, instalación, mantenimiento y operación en forma
sistemática.
La seguridad funcional se ha beneficiado de los avances y esfuerzos realizados por
fabricantes en tratar de generar productos certificados que den cierto nivel de garantía
sobre el grado de integridad que sus productos pueden ofrecer y de la comprensión
de los usuarios finales sobre la importancia de definir un nivel de integridad y diseñar
en función a éste. Pero, hacer el trabajo relacionado con la seguridad funcional con un
enfoque sistemático y fomentar una cultura de seguridad funcional que nos ayude a
evitar las fallas sistemáticas es sin duda nuestro siguiente desafío. Para tener una
idea del desafío que debemos enfrentar, podemos citar a Angel Casal en su
publicación “SIS Pitfalls, Major Accidents and Lessons Learned”, quien nos indica que
desde 1987 al 2012 el 90% de los accidentes mayores ocurridos en la industria de
procesos son debidos a fallas sistemáticas.
La normativa internacional de seguridad funcional IEC 61508, su normativa específica
para la industria de los procesos IEC 61511 y su equivalente ISA 84.00.01 nos dan
una guía y unos pasos (en un orden especifico) que nos permite asegurar que estos
sistemas están siendo manejados bajo un enfoque sistemático y holístico en cuanto a
su diseño, operación y mantenimiento y que el riesgo se mantiene en los niveles
determinados como tolerables.
Ahora bien, si sabemos que adoptar estos estándares nos ayuda a combatir las fallas
que pueden presentar estos sistemas, ¿Por qué no implementarlos si son
considerados como mejores prácticas en muchas partes del mundo?
18
Cuando hablamos de gestión de la seguridad funcional muchos de los elementos a
considerar son muy parecidos a los utilizados en gestión de proyectos. Una buena
gestión de la seguridad funcional debe definir las actividades que serán desarrolladas
(es decir cada paso del Ciclo de Vida de Seguridad), debe indicar cuando serán
desarrolladas estas actividades y que herramientas serán utilizadas. Además, debe
definir los recursos y las personas que serán responsables. En general, debemos
considerar:
Una planificación de las actividades que serán realizadas en cada fase
del Ciclo de Vida de Seguridad, con la descripción de los requisitos de
cada una, incluyendo las actividades de verificación y evaluación
(assessment). Esto es, esencialmente, el plan de ejecución que se
aplicará al proyecto, en función del alcance que debamos cubrir.
La definición de la organización donde se designen los responsables y
las personas que formarán parte del equipo de trabajo. Se debe
garantizar que las personas sean competentes para realizar cada una
de las tareas que le fueron asignadas en cada fase y se debe asegurar
que cada uno de ellos tenga las competencias requeridas según el rol
que deban desempeñar.
La definición de las guías y procedimientos a utilizar, es decir, debemos
definir cómo deben ser desarrolladas cada una de las actividades y que
herramientas serán utilizadas.
La documentación que necesitamos para realizar un trabajo, la
información que debe ser generada y la forma en la que debe ser
manejada para que sea utilizada apropiadamente a lo largo de la vida
útil de los sistemas.
Las evaluaciones periódicas que nos permitan comprobar que los
riesgos están siendo mantenidos en niveles tolerables y que los
procedimientos de trabajo están siendo utilizados en forma apropiada
por personal capacitado.
La siguiente figura nos muestra de forma gráfica todos los elementos que hemos
mencionado hasta ahora,
19
Figura
1. Gestión de la Seguridad Funcional
Como vemos, adoptar una buena práctica recomendada para sistemas automatizados
(o instrumentados) no es algo que se aleja de nuestra realidad al gestionar un
proyecto, solo requiere de un profundo compromiso con la mejora continua.
Implementar este tipo de normativas nos permite identificar mejoras en materia de
seguridad que se adapten a nuestra forma de trabajo, puesto que, al estar basadas en
desempeño, el usuario es libre de desarrollar diseños y soluciones que demuestren
cumplimiento dentro del esquema de trabajo establecido por la normativa.
Así que, luego de manejar toda esta información ¿por qué no darle la importancia
que se merece una buena gestión de seguridad funcional, si sabemos que al no
implementarla los sistemas se degradan y aumentan los riesgos?
20
¿Qué es y cómo se logra la integridad de
la Seguridad Funcional?
En primera instancia desglosemos el concepto en un par de términos básicos.
Integridad: De integro; “que está completo y que no carece de ninguna de sus partes“
(DRAE) y Seguridad (Safety): “Ausencia de riesgo inaceptable” (IEC61508:2010 |
3.1.11) o “Ausencia de riesgo no tolerable” (61511:2016 | 3.2.64).
Así que, para que un SIS pueda alcanzar la integridad de la seguridad para la cual
está diseñado, deben ser controladas o evitadas todas las fallas
aleatorias (normalmente asociadas al hardware) y todas las fallas
sistemáticas (normalmente asociadas con el software y el diseño). El manejo de
fallas, tanto aleatorias como sistemáticas, fue previsto por quienes desarrollaron las
normativas basadas en desempeño, creando disposiciones que permitan gestionar en
forma efectiva ambos tipos de fallas.
21
seguridad (un sistema infalible), pero sí nos podemos acercar en buena medida a ese
valor, en función de la reducción de riesgo que es capaz de ofrecer cada aplicación
(SIL1, SIL2…etc.).
Integridad de Seguridad: Habilidad del SIS para realizar una SIF según sea
especificada y cuando sea requerida. (IEC 61511 2016 | 3.2.68)
22
Integridad de Seguridad: Probabilidad de que un sistema E/E/PE relacionado con la
seguridad ejecute de forma satisfactoria las funciones de seguridad requeridas en
todas las condiciones especificadas en un periodo de tiempo especificado. (IEC
61508 2010 | 3.5.4)
23
relacionados con la seguridad y de otras medidas de reducción del riesgo”
(3.1.12).
24
David Smith: “Se utiliza para referirse a la fiabilidad (conocida como integridad en el
mundo de la seguridad) de los equipos relacionados con la seguridad. En otras
palabras, se refiere a la probabilidad de que funcione correctamente, de ahí la palabra
funcional”
25
Y estos a su vez no llevan a los conceptos de sistema E/E/PE relacionado
con la seguridad (IEC 61508) y otras medidas de reducción del riesgo (IEC
61508) o capa de protección (IEC 61511).
Sistema relacionado con la seguridad: “Un sistema así designado es un sistema
que, simultáneamente:
Implementa las funciones de seguridad requeridas necesarias para
lograr o mantener un estado seguro del EUC; y
Está previsto para alcanzar, por sí mismo o con otros sistemas E/E/PE y
otras medidas de reducción del riesgo, la integridad de seguridad
necesaria para las funciones de seguridad requeridas.” (IEC 61508:2010
3.4.1).
26
responder de manera satisfactoria tanto a condiciones externas (demandas
del proceso, condiciones ambientales) como a fallos internos (fallas
sistemáticas, aleatorias o de causa común) para asegurar que no resulten
en daños a personas, el ambiente, las instalaciones y/o la producción.
Y esto nos lleva al concepto de Integridad de Seguridad, pero este lo
trataremos luego…
Figura 1. Diagrama
de Bloques, Arquitectura 1oo1
27
Debido a que la tasa de falla peligrosa (λ D) viene dada por la suma de la tasa de falla
peligrosa detectada por diagnóstico (λDD) y la tasa de falla peligrosa no detectada (λ DU),
el diagrama de bloques de confiabilidad puede ser expresado como el mostrado en la
figura 2.
Así, la tasa de falla peligrosa (λD) de un canal puede ser dividida en dos bloques en un
arreglo en serie representado por las tasas de fallas λ DD y λDU, Esto permite calcular la
Probabilidad de Falla en Demanda promedio del bloque sumando la probabilidad de
falla equivalente de cada componente. Por lo que de acuerdo a la norma IEC 61508 –
6, la Probabilidad de Falla en Demanda promedio de esta arquitectura es:
PFDavg = (λDU+λDD)tce
tce: Tiempo medio de inactividad.
λDU: Tasa de falla peligrosa no detectada.
λDD: Tasa de falla peligrosa detectada.
La porción de tiempo de inactividad de la función (t ce) puede entenderse de la
ecuación de la siguiente manera (Ver figura 3): 1. El sistema está inactivo debido a
una falla peligrosa no detectada (λ DU), hasta que esta condición sea revelada mediante
la prueba de periodica (Ti) y adicionalmente debe hacerse la reparación respectiva
luego de la detección (MRT) ó 2. El sistema esté en reparación (MTTR) debido a que
se encontró un problema en las pruebas de diagnósticos, asociado ésto a la tasa de
falla peligrosa detectada (λDD), Por lo que se calcula mediante la siguiente ecuación:
tce=(λDU/λD)*(Ti/2+MRT)+(λDD/λD)*MTTR
28
Figura 3. Interpretación del Tiempo de Inactividad del Sistema
Referencias
29
30