Seguridad Funcional

Inicio » SIF » Probabilidad de fallo

Actuador, Probabilidad, SIF / Por Enertria

Probabilidad de fallo
¿Es muy importante calcular con mucha precisión la probabilidad de fallo media “PFDavg” de una Función Instrumentada de Seguridad? La
respuesta corta es “NO”, y vamos a tratar de explicarlo a continuación.

Lo primero que hay que decir es que la Seguridad Funcional es mucho más que el cumplimiento de la probabilidad de fallo. La IEC 61511 define el
llamado “ciclo de vida” del Sistema Instrumentado de Seguridad (SIS) donde encontramos numerosas etapas y conceptos muy importantes (SRS,
Diseño, FAT, SAT, Verificación, Validación, Gestión de la Seguridad, Mantenimiento, fallos hardware y fallos sistemáticos, etc.)

Respecto al producto en sí mismo hay dos requerimientos, uno es la Capacidad Sistemática (producto certificado, “proven in use” o “prior use”) y
el otro es el requerimiento de la probabilidad de fallo del que trata este artículo. Hay un tercer requisito, llamado de Restricciones de
Arquitectura, que tiene que ver con el diseño de la Función Instrumentada de Seguridad (SIF) en cuanto a cuál debe ser su redundancia mínima
(1oo1, 1oo2, 2oo3, …).

Parámetros de cálculo

Para calcular la PFDavg o PFH utilizamos una serie de parámetros, algunos de ellos impactan muy significativamente en el resultado como las
tasas de fallo, el valor de PTC (“proof test coverage”) y el factor Beta utilizado en las arquitecturas redundantes (1oo2, 2oo3,…)

No suele ser sencillo definir con cierto rigor estos tres parámetros:

–Tasas de fallo: ¿Son fiables los valores que estoy utilizando? ¿Cuál es su procedencia? ¿Son valores válidos para las condiciones de operación de
la planta y para el tipo de servicio “severo” de algunas de las SIFs? Si no son fiables lo recomendable es multiplicarlos por un factor entre 2 y 5.

–Proof Test Coverage (PTC): Este parámetro mide cuántos fallos somos capaces de detectar al realizar las pruebas de mantenimiento. A menudo
se desprecia este valor asumiendo que es 100% lo que en la práctica es imposible. Muchos de los fallos están “ocultos” y no se detectan. Un valor
típico para una válvula es 70% o incluso menos. Este factor debe facilitarlo el fabricante del producto. Una variación de sólo un 3% en este
parámetro puede tener un impacto grande en el resultado de PFDavg. ¿Qué tipo de pruebas vamos a hacer? ¿Estamos seguros de que las vamos a
hacer completas para cumplir el valor de PTC definido?

–Factor Beta: Este factor cuantifica los posibles fallos de causa común en las arquitecturas redundantes como 1oo2 o 2oo3. Por defecto se
utilizan valores de 5%/2%/10% para el sensor/logic solver/actuador.

En las siguientes tablas se muestran ejemplos para entender el enorme impacto que tienen estos parámetros al calcular la PFDavg:

Tabla 1: Suponemos las mismas tasas de fallos DD y DU =800 FITS (TI=1 año; MTTR=48h.)

Final Element PTC Beta PFDavg SIL alcanzado Resultado

1oo1 100% NA 3.50E-03 SIL-2 No realista

1oo1 70% NA 1.82E-02 SIL-1 Realista

1oo2 100% 0% 1.64E-05 SIL-4 No realista

1oo2 100% 5% 1.91E-04 SIL-3 No realista

1oo2 70% 0% 3.41E-04 SIL-3 No realista

1oo2 70% 5% 1.23E-03 SIL-2 Realista

Tabla 2: Suponemos la mitad de fallos DD y DU =400 FITS (TI=1 año; MTTR=48h.)

Final Element PTC Beta PFDavg SIL alcanzado Resultado

1oo1 100% NA 1.75E-03 SIL-2 No realista

1oo1 70% NA 9.11E-03 SIL-2 Realista

1oo2 100% 0% 4.11E-06 SIL-4 No realista

1oo2 100% 5% 9,15E-05 SIL-4 No realista

1oo2 70% 0% 8.52E-05 SIL-4 No realista

 1oo2 70% 5% 5.36E-04 SIL-3 Realista

Una desviación pequeña en estos parámetros introduce mucho más error en el cálculo de la PFDavg que el posible error que podemos cometer
por utilizar una herramienta de cálculo menos compleja.

¿Es lo mismo PFDavg = 3.77E-03 que 3.40E-03? El valor no es el mismo, pero desde un punto de vista práctico la diferencia no es tan relevante.
¿Por qué? Por lo dicho anteriormente, porque este error en el cálculo de la probabilidad de fallo es insignificante comparado con el error que
hemos cometido al utilizar parámetros poco rigurosos o de dudosa procedencia.

La norma IEC 61511 no obliga a utilizar ninguna herramienta certificada para realizar estos cálculos de verificación del SIL, pueden incluso hacerse
manualmente o con una hoja de cálculo. Es más importante manejar bien los conceptos, seleccionar correctamente los parámetros y utilizar
fórmulas completas donde intervengan los parámetros principales, en especial PTC y Beta.

Como complemento a este artículo os invitamos a leer este informe.

Artículos relacionados:

Comparar SILcet con exSILentia – Seguridad Funcional (safetyandsis.com)

Back to Basics 16 – PFDavg | exida

← Entrada anterior

Search... 

Entradas recientes

Probabilidad de fallo

Arquitecturas complejas en el elemento final (I)

Errores más comunes en el SIS

Fallos Sistemáticos

Prueba de carrera parcial (PVST)

Por qué invertir en Seguridad Funcional

Comparar SILcet con exSILentia

Diagnósticos del transmisor

Fallos del transmisor

Logic Solver

Categorías

Actuador Arquitecturas Ciclo de Vida IEC 61508 IEC 61511 Lo básico Logic Solver No técnicos Probabilidad

Sensor SIF SILcet

Entradas recientes

Probabilidad de fallo
Arquitecturas complejas en el elemento final (I)
Errores más comunes en el SIS
Fallos Sistemáticos
Prueba de carrera parcial (PVST)
Por qué invertir en Seguridad Funcional
Comparar SILcet con exSILentia
Diagnósticos del transmisor
Fallos del transmisor
Logic Solver
 Categorías

Actuador Arquitecturas Ciclo de Vida IEC 61508 IEC 61511 Lo básico Logic Solver No técnicos Probabilidad

Sensor SIF SILcet

Search... 

Abreviaturas de Seguridad Funcional

© 2019 Enertria,S.L. / ETC-FunSafe, S.L

Inicio Contacto Sobre nosotros

Legal Terms
Privacy Policy & Cookies