SIS – Sistemas Instrumentados de Seguridad - Parte 4

Una visión práctica – Parte 4

La parte inicial de este artículo es la misma de la parte 1 hasta el ítem Ciclo de Vida de Seguridad

Hemos visto en la tercera parte algunos detalles sobre modelos de análisis de árboles de fallos (Fault Trees), modelo de Markov y algunos cálculos.

En esta cuarta parte veremos un poco sobre el Proceso de Verificación de SIF.

Proceso de Verificación de SIF (Función Instrumentada de Seguridad)

Un Sistema Instrumentado de Seguridad (SIS) es uno de los estratos críticos para la prevención de accidentes. Un SIS realiza varias SIFs (Función Instrumentada de Seguridad) y se compone típicamente de sensores, analizadores lógicos y elementos finales de control. Probabilidades de fallo de demanda aceptables (llamadas de SIL – Safety Integrity Level) para cada SIF necesitan ser determinadas para el proyecto y posterior verificación.

El análisis de seguridad se hace sobre los niveles de riesgos de las SIFs.

  •   Un transmisor de presión y un posicionador, por ejemplo,  forman parte de la SIF.

Existen diversos métodos para identificar los SILs necesarios a las SIFs. Uno de ellos es el análisis de estratos de protección LOPA (Layer Protection Analysis), una técnica de análisis de riesgo aplicada tras usarse una técnica cualitativa de identificación de peligros, como por ejemplo, el HAZOP (Estudio de Peligros y Operabilidad). Derivada de una herramienta de análisis cuantitativa de riesgos, el análisis de frecuencia a través de árboles de eventos y la LOPA se pueden describir como técnicas semicuantitativas, porque generan una estimativa del riesgo.

Los sistemas de control son proyectados para mantener el proceso dentro de los parámetros específicos aceptables a la operación normal y segura de la fábrica. Cuando el proceso ultrapasa el límite de funcionamiento, puede presentar riesgo potencial a la vida humana, al ambiente y a los activos. En la etapa de evaluación se identifican los riesgos juntamente con sus consecuencias y se definen los medios para impedir que ocurran.

El riesgo identificado tendrá su posibilidad reducida tanto cuanto el sistema suministrar camadas preventivas. La reducción del riesgo establece tres criterios:

  • El equipo debe estar aprobado para las condiciones ambientales del sitio donde será instalado;
  • Los subsistemas deben poseer tolerancia al fallo necesario debido a los fallos peligrosos presentados por el proceso;
  • La Probabilidadde Fallo bajo Demanda (PFD) de la SIF debe adecuarse a los riesgos aceptables por la compañía.

El usuario debe dominar las informaciones sobre los equipos, de manera a realizar un buen análisis de desempeño de la SIF. Las técnicas de construcción tolerantes al fallo de los componentes impiden que un motivo único cause el fallo del dispositivo. Finalmente, el cálculo de desempeño determina si el SIS mantiene las expectativas del proyecto con relación al nivel de integridad deseado. La confiabilidad del SIS se define por algunos parámetros:

  • Tiempo medio entre fallos (MTBF)
  • Arquitectura de votación
  • Cobertura de los diagnósticos (DC)
  • Intervalo de la prueba (TI)
  • Tiempo medio de reparo (MTTR)
  • Modo de fallo común 

Para cada SIF deben analizarse por lo menos las siguientes informaciones:

  • El peligro y sus consecuencias
  • La  frecuencia del peligro
  • La definición del estatus seguro del proceso
  • La  descripción de la SIF
  • La descripción de las mediciones del proceso y sus puntos de trip
  • La relación entre entradas y salidas, inclusive lógicas, funciones matemáticas, modos de operación, etc.
  • El SIL necesario
  • El período de las pruebas de testeo ( proof tests)
  • La tasa máxima de trip permitida
  • Tiempo máximo de respuesta de la SIF
  • Requisitos para activación de la SIF
  • Requisitos para reajuste de la SIF
  • Respuesta de la SIF en caso de fallo de diagnósticos
  • Requisitos de interfaz humana, o sea, lo que se debe mostrar en displays, sistemas supervisorios, etc.
  • Requisitos de mantenimiento
  • Estimativa de MTTR tras un trip
  • Condiciones ambientales esperadas en las diversas situaciones: operación normal y de emergencia.

Selección de Equipos

Al elegir equipos que ya han funcionado en sistemas de seguridad, débese especificar productos certificados según la IEC61508 o que satisfacen los criterios de “prior use” (uso anterior) cumpliendo con la IEC61511.

El Proven in Use (PIU) es una característica definida por la IEC61511 (cláusula 11.4.4) a través de la cual un equipo ya utilizado con éxito en aplicaciones de seguridad y satisface algunas exigencias (ver en seguida), puede reducir  el HTF (Hardware Tolerance Fault) y con esto utilizarlo en aplicaciones seguras a costo muy menor:

  • Se debe considerar el sistema de calidad del proveedor
  • Versión de hardware y sofware del equipo
  • La documentación de performance y aplicación en sistemas de seguridad
  • El equipo no puede ser programado y debe permitir la configuración de la banda de operación.
  • El equipo debe tener el comando de write protection o Jumper
  • En este caso el SIF es SIL 3 o menor.·

La gran ventaja es que se puede estandarizar equipos para uso en control y equipos para seguridad con costo bien menor.

A través del análisis de hardware llamado de FMEDA (Failure Modes Effects and Diagnostics Analysis) se puede también determinar las tasas de fallos y los modos de los instrumentos. Este tipo de análisis es una extensión del conocido método FMEA, el Análisis del Tipo y el Efecto de Fallo, conocido en inglés como Failure Mode and Effect Analysis. En este caso, la FMEDA identifica y calcula las tasas de fallos en las siguientes categorías: seguras detectables, seguras no detectables, peligrosas detectables y peligrosas no detectables. Esas tasas de fallos son usadas para calcular el factor de cobertura de la seguridad y el factor de riesgo.

Un vez calculado el nivel de integridad de seguridad y sus requisitos débese entonces elegir los equipos, los niveles de redundancia y las pruebas según la demanda de la SIF. Posteriormente, de posesión de las informaciones de cada equipo y dispositivo se calcula, a través de ecuaciones, análisis de árboles, modelo de Markov y otras técnicas si los equipos elegidos cumplieron con los requisitos de seguridad.

¿Como determinar la arquitectura?

La arquitectura de una SIF es determinada por la tolerancia a fallos de sus componentes.

  • Con el uso de redundancia se puede alcanzar un nivel mas elevado de SIL.
  • La cantidad de equipos va a depender de la confiabilidad de cada componente definida en su FMEDA (Failure Modes, Effects and Diagnostics Analysis).
  • Las tres arquitecturas mas comunes son:
    • Simplex o votación 1oo1 (1 out of 1)
    • Duples o votación 1oo2 o 2oo2
    • Triplex o votación 2oo3

La figura 1 muestra ejemplos comunes de arquitectura para sistemas de seguridad, cuyas técnicas son usadas según el sistema de votación deseado:

Figura 1 - Ejemplos típicos de arquitectura para sistemas de seguridad

Figura 1 - Ejemplos típicos de arquitectura para sistemas de seguridad

Para SIFs, la probabilidad de fallo puede interpretarse como la transición de un dispositivo del estado de funcionamiento al estado donde deja de ejercer la función para la cual fue especificado.

Cuando el dispositivo es probado, el PFD (t) se reduce al valor inicial, lo que abarca dos suposiciones implícitas:

  • Todo el fallo del dispositivo es detectado por inspección y prueba de testeo.
  • El dispositivo es reparado y vuelve a operar en condiciones de nuevo. El efecto de la prueba de testeo es ilustrado por la forma de diente de sierra visto en la figura 2.

Como resultado, se concluye que el intervalo de prueba es factor imperativo para determinar la clasificación SIL alcanzada.

Figura 2 – Estados de transición y PFD

Figura 2 – Estados de transición y PFD

Estableciendo Intervalo de Pruebas Funcionales

  • El tiempo transcurrido es un parámetro que afecta el PFD significativamente y, por lo tanto el SIL
  • Es común aumentar la frecuencia de las pruebas e reducir las probabilidades de fallos (ex: pruebas en válvulas, partial strokes)
  • Suponga que una SIF cumpla con el SIL 2, pero el intervalo de las pruebas es largo y así puede también satisfacer al SIL 1.
  • De la misma manera, si hubiere 2 equipos SIL 2 en votación y el intervalo es corto, puede satisfacer al SIL 3.

Conclusión

En la práctica lo que se busca es la reducción de fallos y consecuentemente la reducción de paradas y riesgos operacionales. Se busca  el aumento de la disponibilidad operacional y también, en términos de procesos, la minimización de la variabilidad con consecuencia directa en el aumento de la rentabilidad.

En los próximos artículos de esta serie veremos mas detalles sobre SIS. En la quinta parte veremos un poco sobre Soluciones Típicas de SIF.

Referencias

  • IEC 61508 – Functional safety of electrical/electronic/programmable electronic safety-related systems.
  • IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements", 2003-01
  • William M. Goble, Harry Cheddie, "Safety Instrumented Systems Verification: Practical Probabilistic Calculation"
  • ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de intertravamento de segurança, 2003.
  • Sistemas Instrumentados de Segurança - César Cassiolato
  • “Confiabilidade nos Sistemas de Medições e Sistemas Instrumentados de Segurança” - César Cassiolato
  • Sistemas Instrumentados de Segurança – Uma visão prática – Parte 3, César Cassiolato

Soluciones confiables

"Utilizamos cookies esenciales y tecnologías similares de acuerdo con nuestra Política de privacidad y si continúa navegando, acepta estas condiciones." Leer más