Professional Documents
Culture Documents
Ttulo:
rea de inters:
Autor:
INTRODUCCIN
La Seguridad Funcional es en la actualidad un tema de moda, lamentablemente a causa de graves accidentes en la industria de procesos. Como consecuencia de ellos, este tipo de industrias est cada vez ms regulada. A lo largo de su prctica profesional, el autor se ha encontrado varias veces con distintos conceptos relacionados con la Seguridad Funcional, lo que le ha obligado a estudiar sobre el tema. El presente paper pretende recopilar muchos conceptos a modo de una introduccin amable a la Seguridad Funcional. Se pretende que la informacin sea accesible, por eso no se pretende profundizar demasiado en los conceptos y se ofrecen en forma de preguntas usuales y errores frecuentes.
QU ES LA SEGURIDAD FUNCIONAL?
Dentro de la Seguridad Completa, la Seguridad Funcional es la parte que depende del funcionamiento correcto del proceso o equipo en respuesta a sus entradas. La IEC TR 61508-0 ofrece el siguiente ejemplo para ayudar a aclarar el significado de la Seguridad Funcional: Por ejemplo, un dispositivo de proteccin contra sobretemperatura que utiliza un sensor trmico en los bobinados de un motor elctrico para desactivar el motor antes de que pueda calentarse en exceso, es un caso de Seguridad Funcional. Pero proporcionar aislamiento especial para resistir altas temperaturas no es un ejemplo de seguridad funcional (aunque es un ejemplo de seguridad y podra proteger precisamente contra el mismo peligro). La Seguridad Funcional es un trmino introducido en la norma IEC 61508:1998. Desde entonces el trmino se ha asociado algunas veces con los sistemas de seguridad programables (PLC de Seguridad). Esta es una visin errnea -por incompleta- de la Seguridad Funcional. Adems del PLC de Seguridad, sensores y actuadores finales forman un sistema de seguridad. Se necesita dos tipos de requisitos para lograr la Seguridad Funcional:
La evaluacin de riesgos desempea un papel clave en el desarrollo de los requisitos de la Seguridad Funcional. La tarea y el anlisis de riesgos indican los requisitos de la funcin de
1
seguridad (es decir la funcin de seguridad). La cuantificacin de riesgos proporciona los requisitos de integridad de la seguridad (es decir, la integridad de la seguridad o nivel de rendimiento).
La aparicin de estos estndares ha sido el resultado de la evolucin natural de la necesidad de reducir los riesgos del proceso mejorando la seguridad mediante una metodologa ms formalizada y cuantificable. En el caso del IEC 61508, a medida que las mltiples ventajas de los equipos electrnicos programables (tpicamente PLCs) sobre otras tecnologas hacan que su uso proliferara en aplicaciones de seguridad, se hizo necesario desarrollar un estndar que guiara a los diseadores y a los desarrolladores de estos productos acerca de los requisitos que deban cumplir para asegurarse y para poder afirmar que sus sistemas/productos eran aceptablemente seguros para su uso en aplicaciones relacionadas con la seguridad. El IEC 61508 es un estndar paraguas que sirve como base para que distintas industrias elaboren sus estndares de Seguridad Funcional: IEC 61511 para la Industria de Procesos y de Produccin de Energa (no nuclear) IEC 61513 Industria Nuclear IEC 62061 Industria de Maquinaria
El ANSI/ISA 84.00.01-2004 presenta muchas similitudes con el IEC 61508 e IEC 61511, aunque existen ciertas diferencias. En Europa, suelen seguirse los estndares IEC, mientras que el ANSI/ISA se emplea en los Estados Unidos. Una caracterstica comn a estos estndares de Seguridad Funcional es que no son prescriptivos, si no que se basan en la verificacin de ciertas prestaciones. Dicho de otra forma: definen una serie de requisitos que los equipos/sistemas deben cumplir pero no dicen cmo conseguirlos, dejando plena libertad a los diseadores de los mismos para que opten por las soluciones/tecnologas que consideren ms convenientes para lograrlos.
ALGUNAS DEFINICIONES
SIS (Safety Instrumented System)
Sistema Instrumentado de Seguridad. Sistema diseado para prevenir o mitigar situaciones de riesgo, llevando el proceso a un estado seguro cuando se dan ciertas condiciones predeterminadas (condiciones de disparo). Un SIS puede contener una o varias SIF.
>99,99%
>10000
99,9% - 99,99%
1000 10000
99% - 99,9%
100 1000
90% - 99%
10 100
proceso cuyos riesgos se quieren mitigar. Adems es muy posible que no pueda llevarse a cabo con personal propio y sea necesario contar con ayuda externa.
La idea de capa de proteccin se basa en dos conceptos fundamentales: 1. Una capa de proteccin es una agrupacin de equipos y/o controles administrativos que funcionan en forma concertada con otras capas de proteccin para controlar o atenuar el riesgo del proceso. 2. Una capa de proteccin debe reducir el riesgo identificado al menos por un factor de 10 (FRR>=10) Los estndares de Seguridad Funcional hablan de Capas de Proteccin Independientes (IPL). Para considerar una capa de proteccin como independiente sta debe cumplir que: 1. La proteccin que ofrece reduce el riesgo identificado al menos en un factor de 100.
5
2. La proteccin que ofrece tiene un alto grado de disponibilidad (90% o ms) 3. Tiene las siguientes caractersticas fundamentales: Especifidad: la IPL se disea exclusivamente para un evento concreto y potencialmente peligroso Independencia: para el peligro identificado, la proteccin que ofrece es independiente de otra capa de proteccin Seguridad de funcionamiento: podemos confiar en ella para que haga aquello para lo que ha sido diseada. En el diseo se han considerado tanto fallos aleatorios como sistemticos. Auditable: en su diseo se consider la necesidad de un ensayo peridico para validar su funcin protectora y su mantenimiento. Slo aquellas capas de proteccin que cumplan estas caractersticas pueden ser consideradas como capas de proteccin independientes.
Figura 2. Disminucin del riesgo existente mediante el empleo de distintas capas de proteccin
Adems cubre el mtodo para calcular la PFD del logic solver empleado en el SIS mediante un Anlisis de Markov.
El nivel SIL aplica a una SIF completa, no hay elementos individuales con SIL X, lo correcto sera decir que ese elemento individual es vlido para poder ser usad en aplicaciones con un determinado nivel SIL. La SIF completa (sensores+logic solver+actuadores) debe tener una PFD compatible con el SIL que se pretende que tenga: PFDSIF= PFDsensores + PFDlogic solver + PFDactuadores Siendo PFDSIF <= a la PFD mnima correspondiente al nivel SIL deseado para la SIF.
SON IGUALES TODOS LOS EQUIPOS VLIDOS PARA APLICACIONES DE UN DETERMINADO SIL?
NO. Para poder decir que un equipo es vlido para aplicaciones de un determinado nivel SIL, el dispositivo debe verificar una determinada PFD acorde con ese nivel SIL. Todos cumplirn la PFD para el nivel SIL, pero no tienen por qu ser iguales. La PFD se ve influida por distintos parmetros: Parmetros de diseo o , tasa de fallo o C, tasa de autodiagnstico Parmetros de mantenimiento o T, periodo de prueba o MTTR, tiempo medio para reparacin
Actuando convenientemente sobre uno o varios de ellos el fabricante puede cumplir con el objetivo de PFD que le permita verificar que su dispositivo es vlido para usarse en aplicaciones de un determinado SIL. Pero por ejemplo, un fabricante podra optar por mejorar
8
la tasa de fallo empleando componentes ms robustos, mientras que otro podra decantarse por aumentar las capacidades de autodiagnstico o dotar al dispositivo de redundancia en sus componentes ms crticos.
Podemos ver como cualquiera de las posibles configuraciones mostradas podra ser SIL 2 y la mayora podran ser SIL 3. Simplemente jugando con los factores de PFD (instrumentacin ms fiable), redundancia (2 transmisores/elementos finales en lugar de 1) y/o votacin (configuraciones 2oo2/2oo3 en lugar de 1oo1) podemos pasar de un SIL 1 a un SIL 2 en la primera configuracin. Si por ejemplo, aumentamos la frecuencia con la que se revisan los elementos, tambin podramos conseguir un mayor nivel SIL, lo mismo ocurrira si la instrumentacin utilizada dispusiera de la opcin de funciones de autodiagnstico. Conseguir un SIL 3 a partir de elementos con una PFD compatible con SIL 1 puede dar lugar a arquitecturas excesivamente complejas, que dificultaran su posterior mantenimiento y verificacin.
mantenimiento que requiere el sistema. Esta es la principal razn por la que los estndares recomiendan que la opcin SIL sea la ltima solucin a emplear, una vez que se ha comprobado que el riesgo existente en el proceso no puede ser reducido mediante ningn otro mtodo, como los determinados con el LOPA.
QU ES LA FRECUENCIA DE ENSAYO?
Verificar el correcto funcionamiento de las SIFs es necesario para asegurar que la planta cuenta efectivamente con esa proteccin. Los ensayos deben incluir comprobaciones de las SIFs al completo: logic solver, sensores y elementos finales. La frecuencia de ensayo determina la periodicidad con la que se comprueba el funcionamiento de la SIF. La frecuencia de ensayo depende de cada SIF, de la tecnologa empleada en su implementacin, de la arquitectura del sistema y el nivel SIL que se pretende conseguir con el sistema. La frecuencia de ensayo es un factor muy importante a la hora de calcular la probabilidad de fallo bajo demanda (PFD) del sistema.
Para que funcione como debe, el SIS debe operarse de la forma en la que se pens durante su diseo.
propietario/operador del mismo debe determinar y documentar que el equipo est diseado, mantenido, inspeccionado, comprobado y operado de forma segura. La Clusula Grandfather permitira que las compaas siguiesen operando con sistemas de seguridad diseados e instalados con anterioridad a la publicacin del estndar, pero para poder acogerse a esta clusula deben cumplirse ciertas condiciones, no se trata de una carta en blanco que permita seguir operando con SIS obsoletos de forma indefinida. El ISA TR84.00.04-2005 ofrece una lista de razones que pueden obligar a la actualizacin de un SIS al estndar ANSI/ISA84.00.01-2004, como por ejemplo: Modificaciones de la unidad de proceso que influyan en los riesgos gestionados por el SIS. Modificaciones del BPCS que afectan a las capas de proteccin utilizadas para conseguir la operacin segura. Cuando como consecuencia de la investigacin de un accidente o incidente se detecte una deficiencia del SIS. Cuando al revisar otra unidad diseada segn las mismas prcticas se haya encontrado alguna deficiencia en el SIS.
El proceso para decidir justificadamente el seguir operando con el sistema de seguridad antiguo es complejo, largo y puede resultar muy caro. Adems, en cualquier momento una entidad regulatoria, las compaas aseguradoras o los departamentos legales de la propia compaa podran obligar a que el sistema de seguridad ya existente deba adaptarse a los nuevos estndares. Habra que valorar tambin la posibilidad de que en caso de incidente, el no seguir los estndares ms actuales podra considerarse como una negligencia.
CUL ES EL PROCESO A SEGUIR PARA ADAPTAR MI ANTIGUO SISTEMA DE SEGURIDAD A LOS ESTNDARES SIS?
El modo ms adecuado sera seguir el Ciclo de Vida de la Seguridad definido por los estndares de Seguridad Funcional. Es intencin del autor el publicar prximamente un paper dedicado a esta problemtica en particular.
11
Las etapas iniciales del Ciclo de Vida de la Seguridad son fundamentales. Una investigacin realizada por la HSE Authority del Reino Unido sobre 34 incidentes atribuidos a fallos de los SIS destac que la mayora de las causas de fallo se originaron en las fases iniciales del Ciclo de Vida de la Seguridad: casi el 60% de los incidentes relacionados con el SIS se debieron a causas originadas antes incluso de que el SIS estuviese instalado en las fbricas.
12
13
Conviene tener en mente la frase una cadena es tan fuerte como fuerte es su eslabn ms dbil.
14
LOS EQUIPOS CERTIFICADOS COMO UTILIZABLES EN APLICACIONES QUE REQUIERAN SIL 3 SON MEJORES QUE LOS UTILIZABLES EN APLICACIONES DE SIL 1 SIL 2
NO NECESARIAMENTE CIERTO. Aunque un SIL mayor se corresponde con una menor PFD, un producto compatible con SIL 2 puede usarse en aplicaciones que requieran SIL 3 si, por ejemplo, se aumenta la frecuencia de ensayo del mismo o si se utiliza algn tipo de redundancia. Para el usuario final resulta muy importante comprender los requisitos de operacin de los dispositivos que funcionan dentro de una aplicacin SIL determinada para que una vez instalados, pueda asegurar que siguen siendo utilizables con el SIL deseado. Una instalacin incorrecta, procedimientos de ensayo inadecuados (ensayos peridicos demasiado espaciados o bien mtodos incorrectos que por ejemplo no permitan detectar todos los fallos posibles), o una configuracin incorrecta de los elementos, pueden hacer que el producto no cumpla con los requisitos para poder ser utilizado en una aplicacin de un determinado nivel SIL.
EL VENDEDOR DEL SISTEMA PUEDE DETERMINAR SI SU PRODUCTO CUMPLE CON LOS REQUISITOS DE LA IEC 61511
NO. Slo el usuario final puede asegurar que el sistema de seguridad est implementado de forma que cumpla con los estndares. El usuario final es el responsable de asegurarse de que los procedimientos se han seguido correctamente, que el procedimiento de pruebas ha sido el adecuado y de que toda la documentacin necesaria sobre el sistema (diseo, proceso y procedimientos) existe. El equipo o sistema debe utilizarse adems de la manera para la que fue diseado para que as cumpla con el requisito de conseguir el nivel de reduccin de riesgo deseado.
COMPRAR UNA SOLUCIN COMPLETA BASADA EN SIL ES MEJOR, INCLUSO SI ALGUNA FUNCIN NO NECESITA DE NIVEL SIL
NO. Para la mayora de las aplicaciones, puede que existan slo unas pocas SIF manejadas por el sistema, y la gran mayora de los circuitos puede que no necesiten tener calificacin SIL. Si el cliente especifica que el sistema debe ser SIL 2 SIL 3 para el sistema completo, supondra un coste adicional considerable con poca o ninguna mejora en seguridad, complicando adems su mantenimiento. La filosofa SIL consiste en implementar una solucin SIF/SIS siempre y cuando el riesgo existente no haya podido ser mitigado hasta un nivel aceptable mediante otras soluciones no instrumentadas.
15
16
REFERENCIAS
Sistemas Instrumentados de Seguridad y Anlisis SIL. Seguridad Funcional en Instalaciones de Proceso. I.Fernndez, A. Camacho, C. Gasco, A.M. Macas, M.A. Martn, G. Reyes, J. Rivas ISA Seccin Espaola Frequently Asked Questions about Safety Integrity Levels http://www.gmigasandflame.com/sil_faqs.html General Monitors Common SIL Myths http://www.gmigasandflame.com/sil_myths.html General Monitors Conventional PLC vs. Safety PLC, Controllers for Safety Instrumented Systems Dr. William M. Goble EXIDA What Every Manager Should Know About The New SIS Standards Angela E. Summers, Ph.D., P.E. SIS-Tech Solutions, LLC SIS Pitfalls, Major Incidents and Lessons Learned Angel Casal, Chem. Eng, CFSE Lloyds Register
17
SOBRE EL AUTOR
Vctor D. Parra Mateo es Ingeniero Tcnico Industrial en la especialidad de Electrnica Industrial por la Escuela Politcnica Superior de Algeciras (Universidad de Cdiz). Desde 2004 trabaja en el mundo de la Instrumentacin, Control y Automatizacin de Procesos, participando en distintas fases de proyectos industriales en los sectores de Oil&Gas, Refino y Petroqumica (pruebas FAT, SAT, puesta en marcha de nuevas instalaciones y modernizacin de sistemas de control), su posterior mantenimiento y la formacin del personal que debe operarlo y/o mantenerlo. Por su experiencia profesional ha participado en proyectos como proveedor (Ingeniero de Aplicaciones con YOKOGAWA IBERIA desde 2004-2008) y como usuario final (Ingeniero de Sistemas de Control de Procesos con la COMPAA ESPAOLA DE PETRLEOS S.A. desde 2008). Siempre interesado en seguir creciendo profesionalmente en las especialidades de la Instrumentacin y Control, gusta de fomentar la divulgacin del conocimiento en estas reas, participando activamente en distintos foros tcnicos internacionales relacionados con su experiencia profesional. Profesor del Mdulo de Instrumentacin y Control de la VI Edicin del Curso de Experto en Refino (curso acadmico 2013-2014) organizado por la Universidad de Cdiz y la Ctedra CEPSA. Actualmente (2014) colabora con la Seccin Espaola de ISA en la redaccin de su Libro Blanco de Centros de Control. Tambin ha publicado en internet algunos papers relacionados con varios de los temas en los que trabaja habitualmente: 2014. SISTEMAS FIRE & GAS http://es.scribd.com/doc/203852871/Sistemas-Fire-and-Gas 2012. PST Y FST DE VALVULAS QUE INTERVIENEN EN SIF http://www.scribd.com/doc/104600563/PST-Y-FST-DE-VALVULAS-QUEINTERVIENEN-EN-SIF
18