TT400 SIS – Transmisor de Temperatura para Sistemas Instrumentados de Seguridad
[ Tutorial de SIS ] - Parte 1
¿Que es SIS?
.jpg)
Todo lo que hacemos tiene riesgos involucrados. Estos riesgos generan consecuencias desde la más suaves (y mismo imperceptibles) hasta las más graves, cuando, muchas veces, la vida de personas está en riesgo.
En una fábrica se pasa lo mismo. Y las consecuencias no solo involucran daños físicos a los empleados, pero también a la propiedad, al ambiente y perjuicios financieros.
¿Qué hacer, entonces, para disminuir estos riesgos? Es posible eliminarlos?
Si y no. Riesgo, según el estándar IEC 61508, es el producto entre la frecuencia con que ocurren situaciones peligrosas y las consecuencias que ellas causan.
Frecuencia y Consecuencia. Según los criterios adoptados ambas pueden mensurarse, para obtenerse el riesgo involucrado con un determinado proceso.
Entonces, hay que tenerse en cuenta la dificultad en reducirse la frecuencia o la consecuencia a cero. Una misión casi imposible, o impracticable.
En la práctica, ellas siempre existirán. La cuestión planteada es: hasta que punto se desea reducir el riesgo y cual el nivel aceptable de las consecuencias causadas. Más aún: ¿cual serán los costos con esto proceso y cuanto tiempo tardará para implementar esta reducción? Finalmente la pregunta tal vez más importante: ¿el sistema intentado podrá entrar en acción cuando acontecer la situación peligrosa, o sea, estará siempre disponible?
Esa decisión deberá corresponder al inversor, al dueño del proyecto. Especialistas en seguridad pueden utilizar varios métodos (cuantitativos, cualitativos, semi-cuantitativos, matriz de riesgo, etc.) para que se llegue al nivel deseable de seguridad.
Por lo tanto, el SIS es un sistema que posibilita trabajar en niveles de seguridad pre-establecidos y, si ocurriera la situación peligrosa, mantener todo dentro de límites seguros.
Para eso, existen funciones instrumentadas de seguridad – las llamadas SIF. Es lo que veremos en la segunda parte.
[Tutorial de SIS] – Parte 2
La relación entre las Funciones Instrumentadas de Seguridad (SIF) y los SIS
Como hemos visto, un Sistema Instrumentado de Seguridad (SIS) tiene por función evitar o atenuar eventos peligrosos, llevando un o más procesos a un nivel previamente determinado como seguro.
Especialistas en seguridad, a lo largo del tiempo, empezaron a tomar acciones relacionadas con instalación, programación, uso de equipos e instrumentos de seguridad, para proporcionar la atenuación de los riesgos de proceso. Sin embargo, se trataba de hechos aislados sin basar en estándares inclusive de performance. Surgieron entonces estándares como los IEC61508 y IEC61511, con énfasis en la reducción cuantitativa de riesgo, consideraciones sobre el ciclo de vida de los sistemas, etc. Así, se puede decir que cuando PLCs, sensores y elementos finales satisfacen a los requisitos de esas normas, lo que existe es la Seguridad Funcional, y el riesgo de proceso se reduce a un nivel predeterminado.
.jpg)
Através de metodologías de análisis de riesgo, se pueden evitar muchos accidentes en un SIS.
Los análisis de riesgo que nos llevan hasta la Seguridad Funcional pueden hacerse a través de distintas metodologías. Una de ellas, por ejemplo, es el análisis cualitativo de la probabilidad de ocurrencias y de consecuencias, como se ve en la tabla siguiente.
Probabilidad de Ocurrencias
| Categoria | Definición | Rango (fallos por año) |
| Frecuente | Numero muy grande de veces en la vida útil del sistema | > 10-3 |
| Probable | Varias veces durante la vida útil del sistema | 10-3 a 10-4 |
| Ocasional | Una vez durante la vida útil del sistema | 10-4 a 10-5 |
| Remota | Difícilmente ocurrirá durante la vida útil del sistema | 10-5 a 10-6 |
| Improbable | Muy difícilmente ocurrirá durante la vida útil del sistema | 10-6 a 10-7 |
| Imposible | Se acredita que no ocurrirá | < 10-7 |
Categorías de Consecuencia
| Categoría | Definición |
| Catastrófica | Pérdidas múltiples de vidas |
| Crítica | Pérdida de una vida |
| Marginal | Herimientos graves a una o más personas |
| Insignificante | Pequeños herimientos, a lo peor |
Y así, los resultados de ambas matrices se mezclan en una sola, llamada Matriz de Clase de Riesgo
| Consecuencia | ||||
| Catastrófica | Crítica | Marginal | Insignificante | |
| Frecuente | I | I | I | II |
| Probable | I | I | II | III |
| Ocasional | I | II | III | III |
| Remota | II | III | III | IV |
| Improbable | III | III | IV | IV |
| Imposible | IV | IV | IV | IV |
Donde:
- Clase I: Inaceptable en cualquier circunstancia.
- Clase II: Indeseable – tolerable solo si a reducción de riesgo es impracticable o si los costos para hacerlo son desproporcionadamente mayores que los beneficios a obtenerse.
- Clase III: Tolerable – si el costo de la reducción del riesgo ultrapasar la mejoría esperada.
- Clase IV: Aceptable pero necesita ser monitoreada.
La Seguridad Funcional será representada por las Funciones Instrumentadas de Seguridad, o SIF, del inglés Safety Instrumented Functions.
Y cada SIF en un SIS tiene un Nivel de Integridad Segura basado en la probabilidad de fallos, según lo visto en las tablas arriba. En la próxima semana veremos lo que son esos niveles.
[ Tutorial de SIS ] - Parte 3
Los Niveles de Integridad de Seguridad (SIL)
Se puede definir un SIL (Safety Integrity Level) como lo cuanto se logra reducir un riesgo, según una SIF (Safety Instrumented Function), estudiada en la sección anterior. Una SIF requiere una determinada performance del sistema y la medida de esa acción es el SIL. El estándar europeo establece que el SIL puede variar entre los niveles 1 y 4. Y muchos de los equipos utilizados en sistemas instrumentados de seguridad deben tener certificación de SIL.
¿Como se determina un SIL?
Por varios métodos. Normalmente se usan matrices y gráficos de riesgo combinados, juntamente con el análisis de los estratos de protección conocidas como LOPAs – Layers of Protection Analysis, entre otros.
En resumen, la LOPA es un análisis de niveles de riesgo oscilando desde una base (más segura y tranquila de se manejar, cuyo sistema de control en si mismo garantiza la seguridad del proceso) hasta el topo, donde hay un estrato de respuesta de emergencia, y el objetivo es atenuar los efectos de accidentes asociados a los riesgos investigados.
Pero se trata solo de la evaluación del SIL en un proceso. Los equipos presentes en ese lugar también necesitan evaluarse como hardware. Ese análisis es probabilístico y hecho por órganos competentes, como el TÜV de Alemania, juntamente con el fabricante del hardware. Lo importante es que ambos, el equipo y el sistema, cumplan con el SIL en cuestión.
Por ejemplo: un equipo que debe integrar un SIS está en funcionamiento. Si hubiera algún fallo y el sea solicitado por un PLC, y si la posibilidad de fallo está entre una en 10.000 y una en un millón, se considera que se trata de un SIL, según el estándar IEC61508. Si la probabilidad esté entre un fallo por millón y un por diez millones, se trata de un SIL 2. Y así en adelante.
El propósito aquí es determinar que los riesgos de un sistema de control se atenúen hasta niveles soportables – los llamados requisitos de seguridad y representados por el SIL, según las probabilidades de fallos peligrosos estudiadas.
Según CASSIOLATO (2010), lo que sucede en la práctica es que los usuarios adquieren equipos con certificación de SIL para sistemas de control, pero sin la función de seguridad. Seguramente aún existe desinformación sobre el asunto, pues muchas veces se cree que por el simple hecho de se adquirir un transmisor de certificación de SIL, todo el sistema está seguro, sin riesgos. Entonces, se paga más caro por transmisores certificados sin lograr los beneficios esperados. El usuario cree tener un sistema de control seguro y certificado en razón de un único equipo, muchas veces confundiendo conceptos de SIS e instalaciones a prueba de explosión o con seguridad intrínseca, cuando realmente adquirió no más que un controlador o equipo certificado con funciones de seguridad.
Soluciones confiables
