LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

Ttulo:

Lo mnimo que debera saber sobre SIS

SIS, SIL, SIF, Seguridad Funcional, IEC 61511, ISA S84.01-2004, Sistema Instrumentado de Seguridad, Nivel de Integridad de la Seguridad, Funcin Instrumentada de Seguridad

rea de inters:

Autor:

Vctor D. Parra Mateo

victord.parra@gmail.com http://www.linkedin.com/in/victordparra

INTRODUCCIN
La Seguridad Funcional es en la actualidad un tema de moda, lamentablemente a causa de graves accidentes en la industria de procesos. Como consecuencia de ellos, este tipo de industrias est cada vez ms regulada. A lo largo de su prctica profesional, el autor se ha encontrado varias veces con distintos conceptos relacionados con la Seguridad Funcional, lo que le ha obligado a estudiar sobre el tema. El presente paper pretende recopilar muchos conceptos a modo de una introduccin amable a la Seguridad Funcional. Se pretende que la informacin sea accesible, por eso no se pretende profundizar demasiado en los conceptos y se ofrecen en forma de preguntas usuales y errores frecuentes.

QU ES LA SEGURIDAD FUNCIONAL?
Dentro de la Seguridad Completa, la Seguridad Funcional es la parte que depende del funcionamiento correcto del proceso o equipo en respuesta a sus entradas. La IEC TR 61508-0 ofrece el siguiente ejemplo para ayudar a aclarar el significado de la Seguridad Funcional: Por ejemplo, un dispositivo de proteccin contra sobretemperatura que utiliza un sensor trmico en los bobinados de un motor elctrico para desactivar el motor antes de que pueda calentarse en exceso, es un caso de Seguridad Funcional. Pero proporcionar aislamiento especial para resistir altas temperaturas no es un ejemplo de seguridad funcional (aunque es un ejemplo de seguridad y podra proteger precisamente contra el mismo peligro). La Seguridad Funcional es un trmino introducido en la norma IEC 61508:1998. Desde entonces el trmino se ha asociado algunas veces con los sistemas de seguridad programables (PLC de Seguridad). Esta es una visin errnea -por incompleta- de la Seguridad Funcional. Adems del PLC de Seguridad, sensores y actuadores finales forman un sistema de seguridad. Se necesita dos tipos de requisitos para lograr la Seguridad Funcional:

Funcin de seguridad La integridad de la seguridad

La evaluacin de riesgos desempea un papel clave en el desarrollo de los requisitos de la Seguridad Funcional. La tarea y el anlisis de riesgos indican los requisitos de la funcin de
1

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

seguridad (es decir la funcin de seguridad). La cuantificacin de riesgos proporciona los requisitos de integridad de la seguridad (es decir, la integridad de la seguridad o nivel de rendimiento).

ESTNDARES DE SEGURIDAD FUNCIONAL

Dentro de la Industria de Procesos los estndares de Seguridad Funcional usualmente aceptados internacionalmente son: IEC 61508, Functional Safety: Safety Related Systems IEC 61511, Functional Safety Instrumented Systems for the Process Industry ANSI/ISA 84.00.01-2004, Application of Safety Instrumented Systems for Process Industries

La aparicin de estos estndares ha sido el resultado de la evolucin natural de la necesidad de reducir los riesgos del proceso mejorando la seguridad mediante una metodologa ms formalizada y cuantificable. En el caso del IEC 61508, a medida que las mltiples ventajas de los equipos electrnicos programables (tpicamente PLCs) sobre otras tecnologas hacan que su uso proliferara en aplicaciones de seguridad, se hizo necesario desarrollar un estndar que guiara a los diseadores y a los desarrolladores de estos productos acerca de los requisitos que deban cumplir para asegurarse y para poder afirmar que sus sistemas/productos eran aceptablemente seguros para su uso en aplicaciones relacionadas con la seguridad. El IEC 61508 es un estndar paraguas que sirve como base para que distintas industrias elaboren sus estndares de Seguridad Funcional: IEC 61511 para la Industria de Procesos y de Produccin de Energa (no nuclear) IEC 61513 Industria Nuclear IEC 62061 Industria de Maquinaria

El ANSI/ISA 84.00.01-2004 presenta muchas similitudes con el IEC 61508 e IEC 61511, aunque existen ciertas diferencias. En Europa, suelen seguirse los estndares IEC, mientras que el ANSI/ISA se emplea en los Estados Unidos. Una caracterstica comn a estos estndares de Seguridad Funcional es que no son prescriptivos, si no que se basan en la verificacin de ciertas prestaciones. Dicho de otra forma: definen una serie de requisitos que los equipos/sistemas deben cumplir pero no dicen cmo conseguirlos, dejando plena libertad a los diseadores de los mismos para que opten por las soluciones/tecnologas que consideren ms convenientes para lograrlos.

ALGUNAS DEFINICIONES
SIS (Safety Instrumented System)
Sistema Instrumentado de Seguridad. Sistema diseado para prevenir o mitigar situaciones de riesgo, llevando el proceso a un estado seguro cuando se dan ciertas condiciones predeterminadas (condiciones de disparo). Un SIS puede contener una o varias SIF.

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

SIF (Safety Instrumented Function)

Funcin Instrumentada de Seguridad. Una SIF est diseada para prevenir o mitigar situaciones de riesgo, llevando al proceso a un nivel de riesgo tolerable. Una SIF se compone de un logic solver (elemento encargado de ejecutar la lgica configurada, generalmente un PLC de Seguridad), sensor/es y elemento/s final/es de actuacin. Una SIF debe realizar de forma automtica una accin en respuesta a una determinada situacin. Ejemplo: en caso de detectar una alta presin, abre una vlvula de alivio. Cada SIF tiene asignado un determinado nivel SIL en funcin de la cantidad de riesgo que se reduce mediante su uso.

SIL (Safety Integrity Level)

Nivel de Integridad de la Seguridad. La integridad de una SIF es una medida de su disponibilidad, o visto de otra forma de su probabilidad de fallo bajo demanda (PFD). La PFD es la probabilidad de que en el caso de que por alguna circunstancia la SIF deba actuar esta no funcione correctamente. A mayor SIL, menor PFD (mayor disponibilidad de la SIF). Otra forma de entender el nivel SIL de una SIF es como medida del factor de reduccin del riesgo (FRR) que se consigue al emplear una SIF. Una SIF con un SIL mayor, consigue un mayor FRR. La siguiente tabla refleja los niveles SIL y su relacin con parmetros como disponibilidad, PFD y FRR (SIL 4 no se aplica en la industria de procesos. El estndar IEC 61511 lo recoge, pero no as el ISA 84): Nivel SIL 4 Evita consecuencias catastrficas para la comunidad 3 Proteccin de los empleados y la comunidad 2 Proteccin de la produccin y de las instalaciones, evita un posible dao a los empleados 1 Proteccin de la produccin, pequeo impacto en las instalaciones 0 Disponibilidad de la SIF PFD 1-Disponibilidad <0,0001 (1E-4) FRR 1/PFD

>99,99%

>10000

99,9% - 99,99%

0,001 - 0,0001 (entre 1E-3 y 1E-4)

1000 10000

99% - 99,9%

0,01 - 0,001 (entre 1E-2 y 1E-3)

100 1000

90% - 99%

0,1 - 0,01 (entre 1E-1 y 1E-2)

10 100

Sistema de control de procesos (BPCS)

Tabla 1. Niveles SIL y su relacin con los parmetros de disponibilidad, PFD y FRR

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

DUDAS MS COMUNES SOBRE SIS

CULES SON LAS APLICACIONES DE UN SIS?
Las siguientes son aplicaciones tpicas de los SIS: ESD (Emergency Shut Down) BMS (Burner Management System) F&G (Fire and Gas) TMC (Turbo Machinery Control System) HIPPS (High Integrity Pressure Protection System) WHCP (Well Head Control Panel)

CUL ES LA DIFERENCIA ENTRE UN BPCS Y UN SIS?

La principal diferencia es su misin en el proceso. Mientras que el BPCS se encarga de mantener ciertas variables bajo control, dentro de un determinado margen de valores, la misin del SIS es llevar el proceso a un estado seguro precisamente cuando la variable que se quera mantener bajo control se sale de sus mrgenes normales y alcanza un valor que podra ser peligroso. El BPCS es un sistema activo que opera de forma continua y est pensado para que tenga cierta intervencin humana. Por el contrario un SIS es un sistema durmiente, est pensado para que acte de forma espordica y sin casi ninguna intervencin humana.

APLICAN LOS ESTNDARES SIS AL BPCS?

Depende. Distintas normas, estndares y guas de buenas prcticas de ingeniera como las de la NFPA para hornos de proceso y los estndares de la industria nuclear- indican claramente que la separacin entre las funciones de control (desempeadas por el BPCS) y las de seguridad (que son responsabilidad del SIS) debe ser completa, en ese caso, los estndares SIS no aplicaran al BPCS. Sin embargo, las versiones ms recientes de los estndares de Seguridad Funcional SIS (ejemplo: ISA 84.00.01-2004, IEC 61511 Mod) permiten el uso de elementos que simultneamente realizan funciones de seguridad y de control, siempre que se cumplan ciertos requisitos definidos por los estndares, por lo que s que habr que ver cmo afectaran al BPCS. El objetivo de los estndares de Seguridad Funcional no es hacer cumplir la completa separacin entre BPCS y SIS sino ms bien: 1. Prevenir que un nico punto de fallo en ambos sistemas (error de causa comn) origine una solicitud de activacin del SIS que al mismo tiempo se vea impedida por ese mismo fallo (ejemplo: el mismo transmisor utilizado en el lazo de control del BPCS es el que se utiliza para provocar la actuacin del SIS, en caso de mal funcionamiento del mismo, es posible que ni se pueda ejecutar la funcin de control ni la de seguridad). 2. Asegurar que la frecuencia de ese nico punto de fallo es lo suficientemente baja como para no incumplir los objetivos de mximo riesgo tolerable (ejemplo: ejecucin de funciones de control y de seguridad en la misma CPU, si esta es lo suficientemente fiable, podran verificarse los objetivos de mximo riesgo tolerable). Decidir con fundamento que compartir equipos entre el BPCS y el SIS es aceptable requiere un anlisis detallado y documentado de todos los modos de fallo posibles para los equipos compartidos, la comprobacin de cmo afecta cada uno de esos fallos al proceso controlado y el clculo de la probabilidad de que se produzcan. Es un proceso complejo que puede resultar muy caro, ya que se trata de un esfuerzo multidisciplinar, que involucra a muchas personas y que requiere de grandes conocimientos no slo de la propia instrumentacin, sino tambin del
4

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

proceso cuyos riesgos se quieren mitigar. Adems es muy posible que no pueda llevarse a cabo con personal propio y sea necesario contar con ayuda externa.

QU ES UN ANLISIS DE RIESGOS? QUIN LO LLEVA A CABO?

Se trata de un estudio que identifica problemas de seguridad y riesgos en un proceso, desarrolla acciones correctivas sobre problemas de seguridad y planifica acciones alternativas de emergencia en previsin de que el sistema de seguridad falle. Debe realizarlo un equipo multidisciplinar con un cierto nivel de conocimiento del proceso objeto del anlisis. Hay muchas consultoras y empresas de ingeniera que tambin hacen estos anlisis. La metodologa del anlisis de riesgos puede incluir Anlisis What-If, Hazard and Operability Study (HAZOP), Failure Mode and Effects Analysis (FMEA), y Anlisis del rbol de Fallo.

QU ES EL RIESGO SEGN LOS ESTNDARES DE SEGURIDAD FUNCIONAL? CMO CUANTIFICARLO?

Segn los estndares, el riesgo se define como una medida de la probabilidad de que se materialicen los daos personales, mediaombientales o econmicos en trminos de frecuencia y magnitud de los daos. El riesgo adems, debe cuantificarse, ya que esa es la base para definir/evaluar cada capa de proteccin aplicada para eliminar o reducir el riesgo.

RIESGO N muertes/ao perdidos/mes Kg de sustancia fugada/h

FRECUENCIA Ao-1 Mes-1 Hora-1

SEVERIDAD N muertes Prdidas econmicas (en ) Kg de sustancia fugada

QU ES UNA CAPA DE PROTECCIN (PL)?

Una capa de proteccin es cualquier mecanismo independiente que reduzca el riesgo por control, prevencin o atenuacin del mismo. Por ejemplo: Mediante la ingeniera del proceso (ejemplo: reduciendo al mnimo los volmenes almacenados de aquellos productos qumicos considerados peligrosos pero necesarios para el proceso). Un dispositivo de ingeniera mecnica (ejemplo: una vlvula de seguridad). Un procedimiento administrativo (ejemplo: un procedimiento de operacin, limitando el acceso de personal a ciertas reas).

La idea de capa de proteccin se basa en dos conceptos fundamentales: 1. Una capa de proteccin es una agrupacin de equipos y/o controles administrativos que funcionan en forma concertada con otras capas de proteccin para controlar o atenuar el riesgo del proceso. 2. Una capa de proteccin debe reducir el riesgo identificado al menos por un factor de 10 (FRR>=10) Los estndares de Seguridad Funcional hablan de Capas de Proteccin Independientes (IPL). Para considerar una capa de proteccin como independiente sta debe cumplir que: 1. La proteccin que ofrece reduce el riesgo identificado al menos en un factor de 100.
5

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

2. La proteccin que ofrece tiene un alto grado de disponibilidad (90% o ms) 3. Tiene las siguientes caractersticas fundamentales: Especifidad: la IPL se disea exclusivamente para un evento concreto y potencialmente peligroso Independencia: para el peligro identificado, la proteccin que ofrece es independiente de otra capa de proteccin Seguridad de funcionamiento: podemos confiar en ella para que haga aquello para lo que ha sido diseada. En el diseo se han considerado tanto fallos aleatorios como sistemticos. Auditable: en su diseo se consider la necesidad de un ensayo peridico para validar su funcin protectora y su mantenimiento. Slo aquellas capas de proteccin que cumplan estas caractersticas pueden ser consideradas como capas de proteccin independientes.

Figura 1. Modelo de Capas de Proteccin Independientes o Cebolla de la Seguridad

CUNDO NECESITO UNA SIF?

Debemos aceptar que el riesgo cero no existe, de manera que habr que evaluar qu riesgo mximo estamos dispuestos a asumir. Este ser nuestro Riesgo Mximo Tolerable. La filosofa que emana del estndar sugiere que una SIF debera implementarse nicamente cuando no hay otra forma no instrumentada de conseguir eliminar o mitigar el riesgo existente hasta alcanzar ese nivel de Riesgo Mximo Tolerable. Especficamente, el ANSI/ISA-84.00.01-2004 (IEC 61511 Mod) recomienda un enfoque multidisciplinar que siga el Ciclo de Vida de la Seguridad, realice un anlisis de los riesgos del proceso, disee varias capas de proteccin (por ejemplo basndose en un anlisis LOPA), cada una de ellas con un determinado FRR y si a pesar de ellas no se consigue reducir el riesgo hasta nuestro Riesgo Mximo Tolerable, implementar un SIS que permita reducir el riesgo hasta este punto. Este concepto queda recogido en la siguiente figura:
6

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

Figura 2. Disminucin del riesgo existente mediante el empleo de distintas capas de proteccin

QU SON LOS FALLOS DE CAUSA COMN?

Los fallos de causa comn suceden cuando un nico fallo acarrea el fallo de mltiples elementos. Un ejemplo podra ser un error en el banco utilizado para calibrar dos transmisores redundantes. Los fallos de causa comn pueden acabar con la independencia de una o varias IPL. De hecho han sido siempre la justificacin para independizar las funciones de control en el BPCS y las de seguridad en un SIS, as como para utilizar instrumentacin distinta para cada sistema.

QU ES UN ANLISIS LOPA? CUNDO DEBERA REALIZARLO?

LOPA son las siglas en ingls de Layer Of Protection Analysis. Un anlisis LOPA es la metodologa ms popular para definir las distintas IPL y establecer qu FRR debe cumplir cada una de ellas. Utiliza mtodos tanto cualitativos (matriz de riesgos) como cuantitativos (definicin de riesgo tolerable). Un equipo identifica y discute posibles eventos potencialmente peligrosos y evala las consecuencias de estos eventos en trminos de daos a las personas, al medioambiente y econmicos y determina qu circunstancias podran dar origen a estos eventos. Se fija la frecuencia de cada uno de estos eventos, mediante una estimacin basada en mtodos cualitativos o cuantitativos. El riesgo se mide en funcin de su frecuencia y su consecuencia (Riesgo=Frecuencia x Severidad de las Consecuencias) y se compara con el nivel de riesgo tolerable. Si el riesgo evaluado es mayor que el tolerable, el equipo estudia cada posible causa que puede originar el riesgo, comprobando qu IPLs existen para evitar que la propagacin del riesgo termine provocando una consecuencia indeseada. Cada IPL tiene asignado un determinado FRR basado en el diseo de la propia IPL. El anlisis LOPA puede utilizarse en cualquier fase del proyecto, pero resultar ms eficiente y econmico si se realiza en sus primeras etapas, una vez se disponga de los primeros P&ID. Suele aplicarse normalmente una vez que se ha hecho un anlisis preliminar de riesgos con un impacto significativo en las personas el medioambiente o los equipos. Cuanto ms se retrase ms difcil y caro resultar implementar los cambios en el proceso.

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

CMO SE DETERMINA EL SIL DE UNA SIF?

El ISA-TR84.00.02-2002, Safety Instrumented Functions (SIF) Safety Integrity Level (SIL) Evaluation Techniques recoge distintos mtodos posibles: Usando Ecuaciones Simplificadas Mediante Anlisis de rbol de Fallo Empleando un Anlisis de Markov

Adems cubre el mtodo para calcular la PFD del logic solver empleado en el SIS mediante un Anlisis de Markov.

DE QU DEPENDE EL SIL DE UNA SIF?

El SIL de una SIF se ve afectado por los siguientes factores: Integridad de los dispositivo (ejemplo: tasa de fallos y modo de fallo) Redundancia y votacin (ejemplo: uso de dos sensores en una aplicacin en la que la condicin de disparo detectada por cualquiera de ellos provoca la actuacin de la SIF) Periodicidad de su ensayo (ejemplo: cada cierto tiempo la SIF se ensaya para verificar si verdaderamente cumple su funcin de seguridad) Cobertura del diagnstico (ejemplo: con la SIF en servicio se realizan de forma automtica una serie de ensayos que pueden detectar un determinado porcentaje de modos de fallo del dispositivo) Otras causas comunes (debidas al propio dispositivo, al diseo, errores sistemticos y errores humanos).

El nivel SIL aplica a una SIF completa, no hay elementos individuales con SIL X, lo correcto sera decir que ese elemento individual es vlido para poder ser usad en aplicaciones con un determinado nivel SIL. La SIF completa (sensores+logic solver+actuadores) debe tener una PFD compatible con el SIL que se pretende que tenga: PFDSIF= PFDsensores + PFDlogic solver + PFDactuadores Siendo PFDSIF <= a la PFD mnima correspondiente al nivel SIL deseado para la SIF.

SON IGUALES TODOS LOS EQUIPOS VLIDOS PARA APLICACIONES DE UN DETERMINADO SIL?
NO. Para poder decir que un equipo es vlido para aplicaciones de un determinado nivel SIL, el dispositivo debe verificar una determinada PFD acorde con ese nivel SIL. Todos cumplirn la PFD para el nivel SIL, pero no tienen por qu ser iguales. La PFD se ve influida por distintos parmetros: Parmetros de diseo o , tasa de fallo o C, tasa de autodiagnstico Parmetros de mantenimiento o T, periodo de prueba o MTTR, tiempo medio para reparacin

Actuando convenientemente sobre uno o varios de ellos el fabricante puede cumplir con el objetivo de PFD que le permita verificar que su dispositivo es vlido para usarse en aplicaciones de un determinado SIL. Pero por ejemplo, un fabricante podra optar por mejorar
8

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

la tasa de fallo empleando componentes ms robustos, mientras que otro podra decantarse por aumentar las capacidades de autodiagnstico o dotar al dispositivo de redundancia en sus componentes ms crticos.

QU CONFIGURACIONES DE VOTACIN SE NECESITAN PARA CADA NIVEL SIL?

No hay una respuesta estndar a qu configuracin de votacin se necesita para un determinado SIL. Lograr un determinado nivel SIL depende de mltiples factores: el tipo de tecnologa empleada, el nmero de componentes del sistema, la PFD de cada componente, la arquitectura del sistema (por ejemplo, si hay redundancia o utiliza alguna forma de votacin) y la frecuencia de ensayo son factores muy importantes a considerar a la hora de determinar el nivel SIL, y la configuracin de voto debe analizarse segn todos ellos. La siguiente figura muestra algunas de las posibles configuraciones para cada SIL.

Figura 3. Influencia de la arquitectura en la consecucin de un determinado SIL

Podemos ver como cualquiera de las posibles configuraciones mostradas podra ser SIL 2 y la mayora podran ser SIL 3. Simplemente jugando con los factores de PFD (instrumentacin ms fiable), redundancia (2 transmisores/elementos finales en lugar de 1) y/o votacin (configuraciones 2oo2/2oo3 en lugar de 1oo1) podemos pasar de un SIL 1 a un SIL 2 en la primera configuracin. Si por ejemplo, aumentamos la frecuencia con la que se revisan los elementos, tambin podramos conseguir un mayor nivel SIL, lo mismo ocurrira si la instrumentacin utilizada dispusiera de la opcin de funciones de autodiagnstico. Conseguir un SIL 3 a partir de elementos con una PFD compatible con SIL 1 puede dar lugar a arquitecturas excesivamente complejas, que dificultaran su posterior mantenimiento y verificacin.

REQUIERE UN MAYOR MANTENIMIENTO UN SISTEMA CALIFICADO COMO DE NIVEL SIL?

La opcin de usar un sistema SIL para reducir el nivel de riesgo puede que no sea la solucin ms efectiva en trminos econmicos. A menudo resulta que implementar una solucin SIL precisa de ms equipos (por necesidades de redundancia y/o votacin), lo que inevitablemente hace que aumente el mantenimiento. Adems, es probable que cuanto mayor sea el SIL, mayor sea tambin su frecuencia de ensayo lo cual incrementa el
9

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

mantenimiento que requiere el sistema. Esta es la principal razn por la que los estndares recomiendan que la opcin SIL sea la ltima solucin a emplear, una vez que se ha comprobado que el riesgo existente en el proceso no puede ser reducido mediante ningn otro mtodo, como los determinados con el LOPA.

QU ES LA FRECUENCIA DE ENSAYO?
Verificar el correcto funcionamiento de las SIFs es necesario para asegurar que la planta cuenta efectivamente con esa proteccin. Los ensayos deben incluir comprobaciones de las SIFs al completo: logic solver, sensores y elementos finales. La frecuencia de ensayo determina la periodicidad con la que se comprueba el funcionamiento de la SIF. La frecuencia de ensayo depende de cada SIF, de la tecnologa empleada en su implementacin, de la arquitectura del sistema y el nivel SIL que se pretende conseguir con el sistema. La frecuencia de ensayo es un factor muy importante a la hora de calcular la probabilidad de fallo bajo demanda (PFD) del sistema.

CMO AFECTAN LOS ESTNDARES SIS A LAS OPERACIONES?

Una SIF es una ayuda para la operacin que hace que la planta opere de forma ms segura. Los estndares SIS requieren que los procedimientos de operacin informen convenientemente al operador de los riesgos especficos del proceso y las posibles consecuencias en caso de que las desviaciones en el proceso no puedan mantenerse bajo control. Los procedimientos deberan recoger la siguiente informacin sobre las SIFs: Cmo acta la SIF instalada para proteger el proceso en caso de que se produzca alguna desviacin con respecto al funcionamiento normal? Qu hacer en caso de que la SIF falle y no detenga el proceso en caso de algn incidente? Qu hacer cuando se detecta un fallo en la instrumentacin de la SIF? Quin, por qu razones, cmo y por cunto tiempo puede bypasar una SIF? En qu circunstancias debe procederse a una parada manual de la planta?

Para que funcione como debe, el SIS debe operarse de la forma en la que se pens durante su diseo.

APLICAN LOS ESTNDARES SIS ACTUALES A MI ANTIGUO SISTEMA DE SEGURIDAD?

Las nuevas instalaciones deben seguir los estndares ms actuales. El tratamiento de los sistemas anteriores a la publicacin de los estndares es una de las diferencias entre el IEC 61511 y el ISA S84.01-2004: IEC 61511 Ser el usuario quien deba evaluar la seguridad del proceso y determinar si debe o no adoptar los requisitos del texto. La adopcin del nuevo estndar queda a eleccin del usuario/operador. IEC 61511 no hace referencia expresa a los Sistemas de Seguridad anteriores a su publicacin. ISA S84.01-2004 Este estndar s que menciona los Sistemas de Seguridad anteriores a su publicacin. La conocida como Clusula Grandfather establece que: Para los SIS ya existentes, diseados y construidos de acuerdo a los cdigos, estndares o prcticas anteriores a la publicacin de este estndar (ejemplo: ANSI/ISA 84.01-1996), el
10

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

propietario/operador del mismo debe determinar y documentar que el equipo est diseado, mantenido, inspeccionado, comprobado y operado de forma segura. La Clusula Grandfather permitira que las compaas siguiesen operando con sistemas de seguridad diseados e instalados con anterioridad a la publicacin del estndar, pero para poder acogerse a esta clusula deben cumplirse ciertas condiciones, no se trata de una carta en blanco que permita seguir operando con SIS obsoletos de forma indefinida. El ISA TR84.00.04-2005 ofrece una lista de razones que pueden obligar a la actualizacin de un SIS al estndar ANSI/ISA84.00.01-2004, como por ejemplo: Modificaciones de la unidad de proceso que influyan en los riesgos gestionados por el SIS. Modificaciones del BPCS que afectan a las capas de proteccin utilizadas para conseguir la operacin segura. Cuando como consecuencia de la investigacin de un accidente o incidente se detecte una deficiencia del SIS. Cuando al revisar otra unidad diseada segn las mismas prcticas se haya encontrado alguna deficiencia en el SIS.

El proceso para decidir justificadamente el seguir operando con el sistema de seguridad antiguo es complejo, largo y puede resultar muy caro. Adems, en cualquier momento una entidad regulatoria, las compaas aseguradoras o los departamentos legales de la propia compaa podran obligar a que el sistema de seguridad ya existente deba adaptarse a los nuevos estndares. Habra que valorar tambin la posibilidad de que en caso de incidente, el no seguir los estndares ms actuales podra considerarse como una negligencia.

CUL ES EL PROCESO A SEGUIR PARA ADAPTAR MI ANTIGUO SISTEMA DE SEGURIDAD A LOS ESTNDARES SIS?
El modo ms adecuado sera seguir el Ciclo de Vida de la Seguridad definido por los estndares de Seguridad Funcional. Es intencin del autor el publicar prximamente un paper dedicado a esta problemtica en particular.

QU ES EL CICLO DE VIDA DE LA SEGURIDAD?

Tanto el estndar IEC 61511 como el ANSI/ISA84.00.01-2004 recogen un proceso de gestin del Ciclo de Vida de la Seguridad que las compaas deben seguir cuando instalan un nuevo SIS. El Ciclo de Vida de la Seguridad abarca desde la fase de diseo del SIS hasta su desmantelamiento. En el ciclo se distinguen varios pasos que pueden dividirse en 4 grandes fases: Anlisis Realizacin Mantenimiento Otras tareas que se realizarn durante todo el Ciclo de Vida (gestin, auditora, verificacin, etc) Cada una estas grandes fases se descompone en una serie de etapas:

11

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

Figura 4. El Ciclo de Vida de la Seguridad segn IEC 61511

Las etapas iniciales del Ciclo de Vida de la Seguridad son fundamentales. Una investigacin realizada por la HSE Authority del Reino Unido sobre 34 incidentes atribuidos a fallos de los SIS destac que la mayora de las causas de fallo se originaron en las fases iniciales del Ciclo de Vida de la Seguridad: casi el 60% de los incidentes relacionados con el SIS se debieron a causas originadas antes incluso de que el SIS estuviese instalado en las fbricas.

12

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

DEBO USAR UN PLC COMO LOGIC SOLVER DE MI SIS?

NO, nada obliga a que se utilice un PLC como logic solver, si bien las ventajas que ofrecen frente a otras tecnologas que de venan utilizando (rels, electrnica, etc) han hecho que prcticamente sean la solucin estndar en aplicaciones industriales.

PUEDO UTILIZAR UN PLC DE PROPSITO GENERAL EN UN SIS?

NO, si para el SIS se ha decidido usar un logic solver del tipo PLC, debe utilizarse un PLC de Seguridad.

QU DIFERENCIA HAY ENTRE UN PLC DE PRPOSITO GENERAL Y UN PLC DE SEGURIDAD?

El PLC de Seguridad se disea especficamente para cumplir dos objetivos: 1. Que sea muy fiable, pero como el fallo es inevitable 2. Que cuando falle, slo pueda hacerlo en un modo predecible y seguro El estndar IEC 61508 (partes 2 y 3) recoge los requisitos que debe cumplir el hardware y el software de un PLC de Seguridad. Estos requisitos hacen que en el diseo de un PLC de Seguridad deban tenerse en cuenta mltiples consideraciones: Especial nfasis en las capacidades de autodiagnstico, usando para ello una combinacin de hardware y software. Dispone de una verdadera redundancia que le permita seguir operando de forma segura incluso cuando falle alguno de sus componentes. El software de programacin tambin utilizar ciertas tcnicas para asegurar su fiabilidad. Posee medios para evitar cualquier lectura o escritura no deseada a travs de sus puertos de comunicaciones. Al adquirir un PLC de Seguridad, estamos adquiriendo un equipo cuyo cumplimiento de los requisitos hardware/software que recoge el IEC 61508 (partes 2 y 3) est certificado por una entidad independiente.

RESULTA MS CARO PARA MI PLANTA UTILIZAR UN PLC DE SEGURIDAD?

Si bien el coste inicial del PLC de Seguridad es superior al de un PLC de propsito general, y que puede suponer un mayor coste de mantenimiento, distintos estudios demuestran que a lo largo de su Ciclo de Vida puede resultar ms econmico el implementar un SIS, al reducir la frecuencia de paradas imprevistas de la planta y por lo tanto aumentar su disponibilidad. Al mismo tiempo, la implantacin de un SIS puede permitir reducir el coste de los seguros de la planta.

13

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

IDEAS EQUIVOCADAS ACERCA DEL SIL

PARA CONVERTIR MI ACTUAL SISTEMA DE SEGURIDAD EN UN SIS CONFORME LOS ESTNDARES SIS MS RECIENTES, BASTA CON IMPLEMENTAR MIS PROTECCIONES ACTUALES EN UN PLC DE SEGURIDAD CON CERTIFICACIN SIL
NO. Un SIS no es slo el logic solver (el dispositivo encargado de ejecutar la SIF), la instrumentacin de campo (sensores y actuadores) tambin es parte del SIS. Por lo tanto, instalar un PLC de Seguridad para que ejecute las protecciones actuales no equivale a poner en servicio un SIS segn los estndares. Para implementar un SIS segn los estndares es necesario seguir el Ciclo de Vida de la Seguridad que definen los estndares de Seguridad Funcional IEC 61508 e IEC 61511 y ANSI/ISA 84.00.01-2004

SI USO UN PLC DE SEGURIDAD CON SIL 3, TENGO UN SIS SIL 3

NO. Ya hemos comentado que un SIS no es slo su logic solver. Para que una SIF verifique un SIL 3, resulta crtico que el sistema entero sea diseado para cumplir con los requisitos del SIL 3. La PFD del sistema en su conjunto es importante: PFDSIF= PFDsensores + PFDlogic solver + PFDactuadores Para una SIF de SIL 3 deber cumplirse que la PFDSIF del conjunto est comprendida entre 0,001 y 0,0001. Si un usuario instala un logic solver de SIL 3, pero no incorpora al sistema componentes con una PFD adecuada o no utiliza las redundancias apropiadas, puede encontrarse con que el sistema en su conjunto no sea capaz de verificar los requisitos como para podrsele asignar SIL 3. La siguiente figura muestra claramente la poca repercusin de los fallos del logic solver al fallo de la SIF. El 90% de los fallos de una SIF se deben a fallos en elementos ajenos al logic solver.

Conviene tener en mente la frase una cadena es tan fuerte como fuerte es su eslabn ms dbil.

14

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

LOS EQUIPOS CERTIFICADOS COMO UTILIZABLES EN APLICACIONES QUE REQUIERAN SIL 3 SON MEJORES QUE LOS UTILIZABLES EN APLICACIONES DE SIL 1 SIL 2
NO NECESARIAMENTE CIERTO. Aunque un SIL mayor se corresponde con una menor PFD, un producto compatible con SIL 2 puede usarse en aplicaciones que requieran SIL 3 si, por ejemplo, se aumenta la frecuencia de ensayo del mismo o si se utiliza algn tipo de redundancia. Para el usuario final resulta muy importante comprender los requisitos de operacin de los dispositivos que funcionan dentro de una aplicacin SIL determinada para que una vez instalados, pueda asegurar que siguen siendo utilizables con el SIL deseado. Una instalacin incorrecta, procedimientos de ensayo inadecuados (ensayos peridicos demasiado espaciados o bien mtodos incorrectos que por ejemplo no permitan detectar todos los fallos posibles), o una configuracin incorrecta de los elementos, pueden hacer que el producto no cumpla con los requisitos para poder ser utilizado en una aplicacin de un determinado nivel SIL.

HAY MUCHAS AGENCIAS CAPACES DE EXPEDIR CERTIFICACIONES SIL

NO. Hay muy pocas entidades nacionales acreditadas que puedan expedir este tipo de certificaciones, entre ellas FM, TV y Sira. Algunas empresas de consultora que no estn acreditadas expiden certificados que indican que han revisado el producto y/o proceso para verificar su conformidad con ciertos aspectos del estndar IEC 61508. El estndar no establece qu compaas o agencias estn capacitadas para certificar productos y sistemas, ms bien sugiere que los anlisis sean dirigidos o validados por una tercera parte independiente.

EL VENDEDOR DEL SISTEMA PUEDE DETERMINAR SI SU PRODUCTO CUMPLE CON LOS REQUISITOS DE LA IEC 61511
NO. Slo el usuario final puede asegurar que el sistema de seguridad est implementado de forma que cumpla con los estndares. El usuario final es el responsable de asegurarse de que los procedimientos se han seguido correctamente, que el procedimiento de pruebas ha sido el adecuado y de que toda la documentacin necesaria sobre el sistema (diseo, proceso y procedimientos) existe. El equipo o sistema debe utilizarse adems de la manera para la que fue diseado para que as cumpla con el requisito de conseguir el nivel de reduccin de riesgo deseado.

COMPRAR UNA SOLUCIN COMPLETA BASADA EN SIL ES MEJOR, INCLUSO SI ALGUNA FUNCIN NO NECESITA DE NIVEL SIL
NO. Para la mayora de las aplicaciones, puede que existan slo unas pocas SIF manejadas por el sistema, y la gran mayora de los circuitos puede que no necesiten tener calificacin SIL. Si el cliente especifica que el sistema debe ser SIL 2 SIL 3 para el sistema completo, supondra un coste adicional considerable con poca o ninguna mejora en seguridad, complicando adems su mantenimiento. La filosofa SIL consiste en implementar una solucin SIF/SIS siempre y cuando el riesgo existente no haya podido ser mitigado hasta un nivel aceptable mediante otras soluciones no instrumentadas.

15

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

SEGURIDAD Y FIABILIDAD SON LO MISMO

NO. Seguridad y fiabilidad a menudo estn relacionadas, pero no son lo mismo. El estndar IEC 61500 define Seguridad como la ausencia de riesgos inaceptables. Un sistema de seguridad debera proteger de los riesgos sea o no fiable. La ingeniera de seguridad permite asegurar que un sistema de seguridad funciona como debe, incluso cuando los elementos fallan. En realidad, los ingenieros de seguridad asumen que el sistema fallar, y disean el sistema pensando en esa circunstancia. La fiabilidad es una medida de cmo de bien hace el sistema las funciones para las que fue diseado si se opera de una forma especfica. Un sistema fiable puede que no sea seguro (puede que no se avere, pero que cuando acte no haga lo que debe, por ejemplo, por un mal diseo). El desafo en la seguridad funcional es conseguir simultneamente que un sistema sea fiable y seguro.

16

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

REFERENCIAS
Sistemas Instrumentados de Seguridad y Anlisis SIL. Seguridad Funcional en Instalaciones de Proceso. I.Fernndez, A. Camacho, C. Gasco, A.M. Macas, M.A. Martn, G. Reyes, J. Rivas ISA Seccin Espaola Frequently Asked Questions about Safety Integrity Levels http://www.gmigasandflame.com/sil_faqs.html General Monitors Common SIL Myths http://www.gmigasandflame.com/sil_myths.html General Monitors Conventional PLC vs. Safety PLC, Controllers for Safety Instrumented Systems Dr. William M. Goble EXIDA What Every Manager Should Know About The New SIS Standards Angela E. Summers, Ph.D., P.E. SIS-Tech Solutions, LLC SIS Pitfalls, Major Incidents and Lessons Learned Angel Casal, Chem. Eng, CFSE Lloyds Register

17

LO MNIMO QUE DEBERA SABER SOBRE SIS

Vctor D. Parra Mateo 2014

SOBRE EL AUTOR
Vctor D. Parra Mateo es Ingeniero Tcnico Industrial en la especialidad de Electrnica Industrial por la Escuela Politcnica Superior de Algeciras (Universidad de Cdiz). Desde 2004 trabaja en el mundo de la Instrumentacin, Control y Automatizacin de Procesos, participando en distintas fases de proyectos industriales en los sectores de Oil&Gas, Refino y Petroqumica (pruebas FAT, SAT, puesta en marcha de nuevas instalaciones y modernizacin de sistemas de control), su posterior mantenimiento y la formacin del personal que debe operarlo y/o mantenerlo. Por su experiencia profesional ha participado en proyectos como proveedor (Ingeniero de Aplicaciones con YOKOGAWA IBERIA desde 2004-2008) y como usuario final (Ingeniero de Sistemas de Control de Procesos con la COMPAA ESPAOLA DE PETRLEOS S.A. desde 2008). Siempre interesado en seguir creciendo profesionalmente en las especialidades de la Instrumentacin y Control, gusta de fomentar la divulgacin del conocimiento en estas reas, participando activamente en distintos foros tcnicos internacionales relacionados con su experiencia profesional. Profesor del Mdulo de Instrumentacin y Control de la VI Edicin del Curso de Experto en Refino (curso acadmico 2013-2014) organizado por la Universidad de Cdiz y la Ctedra CEPSA. Actualmente (2014) colabora con la Seccin Espaola de ISA en la redaccin de su Libro Blanco de Centros de Control. Tambin ha publicado en internet algunos papers relacionados con varios de los temas en los que trabaja habitualmente: 2014. SISTEMAS FIRE & GAS http://es.scribd.com/doc/203852871/Sistemas-Fire-and-Gas 2012. PST Y FST DE VALVULAS QUE INTERVIENEN EN SIF http://www.scribd.com/doc/104600563/PST-Y-FST-DE-VALVULAS-QUEINTERVIENEN-EN-SIF

Perfil en LinkedIn: http://www.linkedin.com/in/victordparra

18