GUA PARA LA DETERMINACIN DEL NIVEL SIL EN LA INDUSTRIA DE PROCESOS
M O N O G R A F A
QUE PARA OBTENER EL TTULO DE: INGENIERO QUMICO
PRESENTA: DAVID ARTURO GARCA DE LA CRUZ
COATZACOALCOS, VER. OCTUBRE 2009
NDICE
OBJETIVO. ..................................................................................................... 1 INTRODUCCIN. ........................................................................................... 3 CAPTULO I .................................................................................................... 5 LAS MEDIDAS DE SEGURIDAD Y LOS NIVELES DE CONTENCIN DE RIESGOS. ....................................................................................................................... 6 1.1 LAS MEDIDAS DE SEGURIDAD. .................................................................. 6 1.2.1 LOS NIVELES DE PROTECCIN. .............................................................. 8 1.2.2 LOS NIVELES DE PROTECCIN DE CONTENCIN DE RIESGOS. .. 10 1.3.1 LOS SISTEMAS BSICOS DE CONTROL DE PROCESOS. .................. 11 1.3.2 ALARMAS CRTICAS E INTERVENCIN MANUAL. .......................... 11 1.3.3 LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD. ..................... 12 1.3.4 LOS DISPOSITIVOS MECNICOS ACTIVOS DE PROTECCIN (DISPOSITIVOS DE RELEVO). ................................................................................. 13 LOS DISPOSITIVOS MECNICOS PASIVOS DE PROTECCIN (SISTEMAS DE CONTENCIN FSICA). ............................................................................................ 13 1.3.6 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS DE LA PLANTA. 14 1.3.7 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS Y DE CONTENCIN DE RIESGOS IMPLEMENTADA POR LA COMUNIDAD. ......... 14 1.3.8 EL RIESGO REMANENTE ACEPTADO. ................................................. 14 CAPTULO II ................................................................................................. 16 2.1 SEGURIDAD FUNCIONAL. .......................................................................... 17 2.2 LAS NORMAS IEC ......................................................................................... 18 2.2.1 LA NORMA IEC 61508. .............................................................................. 19 2.2.2 LA NORMA IEC 61511 ............................................................................... 20 CAPTULO III ................................................................................................ 22 3.1 GRFICA DE LOS PARMETROS DEL RIESGO. ..................................... 23 3.2 ASIGNACIN DE LOS VALORES DE SIL. ................................................. 26 CAPTULO IV ............................................................................................... 27 4.1 NIVEL DE INTEGRIDAD DE SEGURIDAD (SIL). ..................................... 28 4.2 LA PROBABILIDAD DE FALLAS. ............................................................... 28 4.3 CARACTERIZACIN DE LOS COMPONENTES DEL SIS PARA RECLAMAR UN CUMPLIMIENTO SIL. .................................................................. 29 4.3.1 LA FRACCIN DE FALLA SEGURA. ...................................................... 29 4.3.2 LA TOLERANCIA A FALLAS DEL HARDWARE. ................................. 31 CONCLUSIONES. ........................................................................................ 37 BIBLIOGRAFA .......................................................................................................... 39 GLOSARIO .................................................................................................................. 41
NDICE DE FIGURAS
Figura 1.1 Jerarqua de los niveles de contencin de riesgos en la planta industrial 6 Figura 1.2 Los riesgos y su relacin 8 Figura 1.3 Secuencia de las medidas de contencin de riesgos. 9 Figura 2.1 Normas que fundamentan la seguridad funcional... 19 Figura 3.1 Matriz para la determinacin del nivel SIL requerido por el riesgo.. 25 Figura 4.1 Diagrama esquemtico de un ESD 33 Figura 4.2 Suma de probabilidades promedio 34 Figura 4.3 Arquitectura de la funcin de seguridad... 34 Figura 4.4 Arquitectura de la funcin de seguridad considerando un segundo transmisor para la variable crtica. 35
NDICE DE TABLAS
Tabla 3.1 Asignacin de los valores de SIL requeridos por el riesgo 26 Tabla 4.1 Probabilidad de fallas de la funcin de seguridad.. 29 Tabla 4.2 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo A relativos a seguridad 31 Tabla 4.3 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo B relativos a seguridad. 32
1
OBJETIVO.
2
Proporcionar informacin suficiente y necesaria para la determinacin del Nivel de Seguridad Integridad SIL (siglas en ingles) requerido en la Industria de Procesos, y de su relacin con el concepto de Seguridad Funcional.
3
INTRODUCCIN.
4
La industria de procesos contiene riesgos, tal que los trabajadores, la maquinaria, los equipos y el medio ambiente estn en una situacin constante de exposicin a daos consecuencia de estos riesgos.
Cada riesgo contiene un evento iniciador, y una determinada severidad de consecuencias si el mismo es iniciado.
Para minimizar la presencia del evento iniciador del riesgo y/o para mitigar las consecuencias del riesgo iniciado se implementan medidas de seguridad, las cuales contienen una funcin de seguridad y un nivel de certidumbre y/o de integridad que garantizar la accin de la funcin de seguridad si es demandada por el riesgo.
Si la medida de seguridad contiene dispositivos elctricos, electrnicos y/o electrnicos programables se denomina Sistema Instrumentado de Seguridad (SIS por sus siglas en ingls), con Funciones Instrumentadas de Seguridad (SIF por sus siglas en ingls), con un Nivel de Integridad de Seguridad (SIL por sus siglas en ingls); y sus caractersticas desde su concepcin hasta el desmantelamiento se regirn por las normas internacionales IEC 61508 e IEC 61511.
El presente trabajo pretende, en forma sencilla, explicar el mtodo simplificado para la determinacin del nivel SIL requerido por el riesgo; y de la caracterizacin de los dispositivos elctricos, electrnicos y electrnicos programables, que les permitir el cumplimiento con el SIL requerido.
5
CAPTULO I
6
LAS MEDIDAS DE SEGURIDAD Y LOS NIVELES DE CONTENCIN DE RIESGOS.
1.1 LAS MEDIDAS DE SEGURIDAD.
Las medidas de seguridad de prevencin de riesgos en la industria de procesos se disean considerando la frecuencia de la exposicin al riesgo por personas, la probabilidad de la presencia del evento iniciador del riesgo, y la severidad de las consecuencias si el mismo es eventualmente iniciado.
Las medidas de seguridad de mitigacin de riesgos se disean para controlar los eventos peligrosos iniciados, y para reducir el impacto del evento a las instalaciones, el medio ambiente y la vida humana.
En el modelo jerrquico siguiente (figura 1.1) se muestran las medidas de seguridad contra riesgos industriales, en niveles capas de proteccin y su orden secuencial.
Figura 1.1 Jerarqua de los niveles de contencin de riesgos en la planta industrial.
7
Las medidas de seguridad son independientes entre s en cuanto a su funcin. Por eso, dispositivos de regulacin y control del nivel ms bajo, por regla general no se emplean simultneamente para aplicaciones de seguridad de un nivel superior.
Ahora bien, las medidas de seguridad deben ser evaluadas sistemticamente para asegurar su vigencia, conveniencia y actualizacin como sistemas de reduccin de riesgos.
Uno de los indicadores para la evaluacin de las medidas de seguridad es la seguridad funcional implementada, es decir la garanta de funcionamiento de la medida de seguridad con respecto a una posible demanda real del riesgo de la planta de procesos-, expresada y cuantificada comnmente como Probabilidad de Falla en Demanda.
La evaluacin de la seguridad funcional implementada de las medidas de seguridad se lleva a cabo bajo la consideracin de los siguientes parmetros:
a) Cul es la funcin de seguridad - Qu hace la medida de seguridad. b) Cul es el nivel de integridad de seguridad Qu grado de certidumbre existe del desempeo de la funcin de seguridad.
Ambas funciones de la seguridad y el Nivel de Integridad de Seguridad (SIL por sus siglas en ingls) especifican a la seguridad funcional como un requisito de toda medida de seguridad, considerando a la medida de seguridad como un todo dentro de un ambiente particular.
En el entorno de la maquinaria, la planta de procesos y los equipos, y especialmente en la ingeniera de automatizacin y control, la determinacin del nivel SIL del riesgo como requisito en el dimensionamiento de los Sistemas Instrumentados de Seguridad (SIS), tiene una importancia relevante.
1.2 LOS RIESGOS Y LOS NIVELES DE PROTECCIN.
La figura 1.2 muestra la relacin del riesgo del equipo bajo control, el riesgo remanente aceptado, y la reduccin del riesgo obtenida por la implementacin de medidas de seguridad.
8
Figura 1.2 Los riesgos y su relacin.
Donde:
Equipo bajo control: Es la maquinaria, la planta de procesos, el equipo, en conjunto con los sistemas bsicos de control asociados para su operacin eficiente. Se muestra en las posiciones sin medidas de proteccin y con medidas de proteccin.
Riesgo Remanente Aceptado: Nivel de riesgo remanente despus que sistemas de reduccin del riesgo han sido implementados. Este nivel de riesgo es aceptado en un contexto basado en valores actuales de la sociedad.
Mientras que el nivel de riesgo remanente no es aceptable debern adicionarse ms y mayores medidas de seguridad, hasta obtener el nivel de riesgo remanente aceptado.
1.2.1 LOS NIVELES DE PROTECCIN.
Los riesgos industriales son de muy distinta naturaleza y sus consecuencias pueden variar desde mnimas hasta realmente catastrficas.
Ha sido necesario analizar mediante numerosas tcnicas cada uno de estos riesgos para determinar las medidas para su prevencin y en su caso la mitigacin
9
de las consecuencias. La enorme variedad de los riesgos industriales ha requerido una enorme variedad de medidas de proteccin y/o barreras de contencin.
Los intentos por clasificar estas medidas de proteccin y/o barreras de contencin han dado lugar a lo que se denomina niveles de proteccin de contencin de riesgos.
Una filosofa de seguridad consiste en que si la probabilidad del evento iniciador del riesgo y/o el desarrollo de las consecuencias de un riesgo que ha sido iniciado exceden la proteccin de una medida de seguridad, deber encontrar en su recorrido medidas adicionales inclusive de tecnologa diversa y/o de origen externo de mayor contencin y/o mitigacin.
La figura 1.3 nos muestra como diferentes medidas de seguridad se anteponen a la trayectoria del riesgo y/o del evento iniciador del riesgo, a la probabilidad y frecuencia del riesgo, y a la severidad de las consecuencias del riesgo,
Figura 1.3 Secuencia de las medidas de contencin de riesgos.
10
Donde:
MSI 1 , MSI 2 , MSI 3 , etc.: Son las diferentes medidas de seguridad independientes tanto en tecnologa como en el origen implementadas para la reduccin del riesgo. Estas medidas de seguridad debern ser independientes del evento Iniciador del riesgo e independientes entre s.
Las medidas de seguridad independientes conforman niveles de proteccin para la contencin en el recorrido de los riesgos. En la industria de procesos se identifican siete niveles de proteccin, como se detallan a continuacin.
1.2.2 LOS NIVELES DE PROTECCIN DE CONTENCIN DE RIESGOS.
Los niveles de proteccin de contencin de riesgos son los siguientes:
1. Los Sistemas Bsicos de Control de Procesos (SBCP). 2. La intervencin del operador humano. 3. Los Sistemas Instrumentados de Seguridad (SIS). 4. Los sistemas mecnicos activos (dispositivos de relevo). 5. Los sistemas mecnicos pasivos (barreras fsicas de Contencin). 6. La respuesta de emergencias de la planta. 7. La respuesta de emergencias de la comunidad.
La reduccin global del riesgo resulta de la adopcin de las medidas de seguridad de los distintos niveles de proteccin y, en ltima instancia, debe resultar un riesgo remanente aceptable.
1.3 DESCRIPCIN DE LOS NIVELES DE PROTECCIN DE CONTENCIN DE RIESGOS.
Una breve descripcin de los diferentes niveles de proteccin de contencin de riesgos es el siguiente:
11
1.3.1 LOS SISTEMAS BSICOS DE CONTROL DE PROCESOS.
La funcin de los sistemas bsicos de control de procesos es la regulacin y control de las variables en la planta de procesos, dentro de valores necesarios para obtener productos de mxima calidad, en procesos de fabricacin estables, continuos y optimizados.
Y aunque los sistemas bsicos de control se disean para que las variables del proceso se mantengan dentro de parmetros de control, de manera inherente (seguridad inherente) conforman el primer nivel de proteccin de contencin de riesgos en la industria.
La filosofa de los sistemas bsicos de control de procesos se basa en la operacin de lazos de control para cada variable del proceso. Los lazos de control estn constituidos por sensores de la magnitud de las variables, controladores de desviacin y elementos finales de control.
Complementan a estos lazos de control, las estrategias lgicas de control (software), los valores lmites establecidos para las variables, los medios de comunicacin, sistemas de diagnstico de fallas, valores de referencia, mtodos de redundancia para incrementar la disponibilidad, entrelazamientos, algoritmos de clculo, entre otros.
1.3.2 ALARMAS CRTICAS E INTERVENCIN MANUAL.
El segundo nivel de proteccin de contencin de riesgos se constituye por la intervencin del operador humano que acta en situaciones donde las variables del proceso exceden los valores lmite (valores de alarma) durante la operacin normal de la planta de procesos y los equipos bajo control.
El operador humano manipula bajo prcticas y conocimientos obtenidos de su capacitacin y adiestramiento continuos, las variables del proceso que pueden quedar fuera de control ante la presencia de desviaciones y de situaciones de emergencia. Entre estas situaciones se encuentran los cortes inesperados de energa elctrica, fallas en el suministro de vapor, agua de enfriamiento, aire de instrumentos, el descontrol de la operacin de la planta, la falla de algn equipo, etc.
12
El operador humano ejecuta las acciones necesarias para llevar la operacin de su Planta de proceso a condiciones seguras de falla en un estado de riesgo remanente aceptado.
Estas actividades del operador humano estn documentadas en los procedimientos operativos de arranque y procedimientos de paro normal y de emergencia de la planta de proceso y sus equipos.
Estos procedimientos operativos son elementos esenciales de formacin del operador humano.
1.3.3 LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD.
El tercer nivel de proteccin de contencin de riesgos est conformado por los Sistemas Instrumentados de Seguridad (SIS).
Los Sistemas Instrumentados de Seguridad son sistemas automatizados, diseados a prueba de fallas, con requerimientos de confiabilidad y disponibilidad certificada por laboratorios especializados. Estn constituidos por lazos de seguridad conformados por sensores, controladores lgicos y elementos finales de seguridad, independientes de los utilizados por los Sistemas Bsicos de Control.
Los Sistemas Instrumentados de Seguridad aplican normalmente a variables crticas y situaciones cuyo descontrol no puede ser atendida por el operador humano debido a su complejidad, velocidad de desarrollo, y que requieren detectarse de manera temprana y oportuna.
Los Sistemas Instrumentados de Seguridad no son aptos para el control del proceso y no sirven para este objeto. Son sistemas paralelos diseados para actuar por seguridad, por lo que se impone la independencia de estos sistemas de seguridad de los sistemas de regulacin y control. Y en caso de situaciones de emergencia, operarn automticamente para llevar a la planta de proceso y sus equipos a un estado de riesgo remanente aceptado. Estos sistemas pondrn fuera de servicio los equipos, reas del proceso y la planta misma si es requerido dentro de su estrategia de seguridad (software de seguridad). Estos sistemas debern apegarse a los requisitos de seguridad funcional establecidos en las normas tcnicas internacionales IEC-61508, IEC-61511 e ISA/ANSI S84.01 para su fabricacin, diseo de aplicaciones, manejo por integradores y uso y mantenimiento por el usuario final.
13
Ejemplos prcticos de sistemas instrumentados de seguridad lo conforman los sistemas de paro de emergencia, sistemas de proteccin de motores, turbinas, compresores, reactores qumicos, hornos, calderas, quemadores, etc., y dentro de las variables crticas encontramos vibracin, desplazamiento, friccin, ausencia de flama, sobrepresin, altas temperaturas, desbalance entre fases elctricas, descontrol de reacciones qumicas catastrficas por su naturaleza, etc.
Tambin se les conoce como interlocks de seguridad debido a que sus componentes de operacin y elementos finales pueden estar constituidos por relevadores elctricos, electrnicos y/o electrnicos programables dentro de una lgica de actuacin por seguridad.
Algunos autores consideran dentro de la clasificacin de sistemas instrumentados de seguridad a los sistemas diseados para la deteccin y control de emisiones fugitivas, y los sistemas automticos de deteccin y supresin de fuego (Fire & Gas Systems).
1.3.4 LOS DISPOSITIVOS MECNICOS ACTIVOS DE PROTECCIN (DISPOSITIVOS DE RELEVO).
El cuarto nivel de proteccin de contencin de riesgos est conformado por los dispositivos mecnicos activos de proteccin, dispositivos de relevo.
Los dispositivos mecnicos activos y/o dispositivos de relevo, estn diseados para proteger la integridad mecnica de equipos, tuberas y recipientes. Entre estos dispositivos encontramos las vlvulas de seguridad y relevo por sobrepresin (PSV), los dispositivos de relevo trmico, discos de ruptura, rompedoras de vaco, entre otros. Su funcin primordial es la de proteger la integridad mecnica de tuberas y recipientes, y del medio ambiente ante riesgos de alto impacto.
LOS DISPOSITIVOS MECNICOS PASIVOS DE PROTECCIN (SISTEMAS DE CONTENCIN FSICA).
Son todos aquellos sistemas diseados para la canalizacin de fugas, desfogues, derrames, diques de acumulacin, muros cortafuego, materiales de construccin no combustibles, barreras fsicas, sistemas de drenaje aceitoso, drenajes qumicos, de fosas de captacin y tratamiento, sistemas de quemado e
14
incineracin, sistemas de recoleccin y tratamiento de residuos peligrosos, contaminantes de suelo, agua y aire, etc. En la prctica son sistemas de proteccin al medio ambiente y de la salud de los trabajadores y de los habitantes en las comunidades aledaas regionales.
1.3.6 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS DE LA PLANTA.
Lo conforman los cuerpos de bomberos, de rescate y de atencin mdica en planta, y de otros cuerpos especializados de contencin de riesgos. Se consideran aqu tambin los sistemas contraincendio conformados por las redes de agua contraincendio y su equipamiento, as como la situacin estratgica de equipos manuales de extincin de incendios (extinguidores fijos y porttiles). Se incluyen tambin los sistemas de aviso de evacuacin del personal, mtodos de aislamiento y avisos de trabajos peligrosos, establecimiento de vas de escape, puntos de reunin seguros, y todos aquellos planes y programas de salud y seguridad en el trabajo.
1.3.7 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS Y DE CONTENCIN DE RIESGOS IMPLEMENTADA POR LA COMUNIDAD.
Lo conforman los comits locales de ayuda mutua, sistemas de vas de escape, sistemas para la evacuacin general de la poblacin, intervencin del ejrcito, polica, cuerpos de bomberos y de rescate de la comunidad, cuerpos especializados externos a la planta, y de todos aquellos planes y programas de salud general y de mantenimiento del entorno ambiental.
1.3.8 EL RIESGO REMANENTE ACEPTADO.
Las medidas de seguridad que en ltima instancia se adoptan dependen de la magnitud del riesgo remanente que an puede aceptarse.
La clasificacin de los niveles de proteccin de contencin de riesgos unifica los distintos criterios, relativos a seguridad y al nivel del riesgo remanente aceptado, de los ingenieros de proceso de la planta industrial, los ingenieros de
15
mantenimiento, los ingenieros de seguridad e incluso los de la comunidad, fabricantes, diseadores e integradores.
El riesgo remanente aceptado depende de los factores siguientes:
Regin/Pas. Sociedad de la correspondiente regin/pas. Leyes. Evaluacin de los costos.
El riesgo remanente aceptado es una valoracin y una decisin individual de las organizaciones industriales, de la sociedad civil y de los organismos gubernamentales, sobre una base de consenso, puesto que lo que para unos es aceptable, para otros podra ser inaceptable.
16
CAPTULO II
17
SEGURIDAD FUNCIONAL. LAS NORMAS IEC DE SEGURIDAD FUNCIONAL.
2.1 SEGURIDAD FUNCIONAL.
Ya establecimos que uno de los indicadores para la evaluacin de las medidas de seguridad es la seguridad funcional implementada, es decir la garanta de funcionamiento de la medida de seguridad con respecto a una posible demanda real del riesgo de la planta de procesos-, expresada y cuantificada comnmente como probabilidad de falla en demanda, PFD.
La seguridad funcional como requisito de la medida de seguridad en un ambiente particular debe garantizarse para cada una de las etapas del ciclo de vida de la medida de seguridad. El ciclo de vida de cada una de las medidas de seguridad abarca las siguientes:
El diseo conceptual. El diseo de la funcin de seguridad. La determinacin del nivel de integridad de seguridad. El suministro, la construccin y la instalacin. La integracin y puesta en servicio (incluye pruebas pre-operacionales). La operacin. El mantenimiento. La validacin. El desmantelamiento.
El diseo conceptual de las medidas de seguridad se basa en los resultados obtenidos de estudios del riesgo de los procesos, como son -el anlisis de peligros- y -la evaluacin del riesgo-.
El anlisis de peligros (HAZOP, por sus siglas en ingls) identifica que es lo que tiene que ser hecho para evitar el evento peligroso, -la funcin de seguridad-, y la evaluacin del riesgo (QRA, por sus siglas en ingls) proporciona el nivel de integridad de seguridad requerido para la funcin de seguridad, para que el riesgo final sea nica y seguramente el remanente aceptado.
Est os dos el ementos qu f unci n de seguri dad t i ene que ser implementada -la funcin de seguridad- y que grado de certidumbre es necesario para que la funcin de seguridad se lleve a cabo -el nivel de integridad
18
de seguridad (SIL, por sus siglas en ingls)- son los cimientos de la seguridad funcional.
En un concepto ms amplio seguridad funcional tambin se refiere a la garanta global exigida a la maquinaria, la planta de procesos y los equipos, relativos al desempeo de seguridad contra fallas y peligros, desde un punto de vista independiente de los requisitos productivos. La seguridad funcional incluye los criterios del riesgo remanente aceptado como requisito primario desde la concepcin y el diseo del proceso y la maquinaria, la operacin, el mantenimiento y el desmantelamiento seguros que son requeridos.
2.2 LAS NORMAS IEC
Hasta ahora haba normas nacionales para la planificacin, la construccin y la operacin de las instalaciones de seguridad para la industria. As por ejemplo, para el mercado alemn, los fabricantes y usuarios de dichas instalaciones pudieron remitirse a las normas de seguridad DIN 19250, DIN 19251 y DIN 801. Con estas normas se describa el dimensionamiento de los dispositivos relevantes para la seguridad mediante las clases de seguridad AK (Clases AK 1-8).
Puesto que muchos pases tenan normas distintas, y con muy variadas nomenclaturas, para el correcto funcionamiento de dispositivos de seguridad, se emiti en el ao de 1998 una norma de requisitos bsicos con acreditacin internacional a travs de la Comisin Electrotcnica Internacional (IEC por sus siglas en ingls) con sede en Gnova, Suiza. Esta norma, vlida para todo el mundo es la IEC 61508 Seguridad Funcional de los Sistemas Elctricos/ Electrnicos/ Electrnicos Programables relacionados a la Seguridad.
A partir de la norma base IEC 61508 nacieron una serie de normas de aplicacin para diferentes ramas y necesidades de la industria, en las que se definieron los requisitos organizacionales y tcnicos exigidos a las instalaciones de seguridad y a su implementacin.
En Agosto de 2004 se aprob la norma IEC 61511 la cual es una norma de aplicaciones unificada para la industria de procesos. Ver la figura 2.1.
19
Figura 2.1 Normas que fundamentan la seguridad funcional
Para la industria de procesos son relevantes las dos normas siguientes:
IEC 61508 (Norma bsica): Es vlida en todo el mundo como base para especificaciones, diseo y operacin de los Sistemas Instrumentados de Seguridad, SIS. IEC 61511 (Norma para la industria de procesos): Aplicaciones especficas de IEC 61508 para la industria de procesos.
Las Normas IEC 61508 e IEC 61511 se han de emplear en sistemas relacionados con la seguridad si stos contienen uno o ms de los dispositivos siguientes:
La norma industrial internacional IEC 61508 Seguridad Funcional de los Sistemas Elctricos/Electrnicos/Electrnicos Programables relacionados a la Seguridad dirigida a los diseadores y fabricantes de equipos, establece que un Sistema Instrumentado de Seguridad SIS est compuesto por Funciones Instrumentadas de Seguridad (SIF por sus siglas en ingles). Cada Funcin Instrumentada de Seguridad SIF es un lazo de seguridad compuesto de tres elementos principales: Un elemento primario de medicin (sensor-transmisor), un solucionador lgico, y un elemento final (Actuador de Seguridad). El propsito de la Funcin Instrumentada de Seguridad SIF, -medida de seguridad-, es el de
20
llevar el proceso industrial a un estado seguro (riesgo remanente aceptado) cuando se han violado condiciones extremas predeterminadas.
El Solucionador Lgico del Sistema SIS puede integrar y desarrollar una mas Funciones Instrumentadas de Seguridad SIF, las cuales cuentan con un Nivel de Integridad de Seguridad (SIL) especfico.
Las normas establecen 4 niveles para el Nivel de Integridad de Seguridad, los cuales son SIL 1, SIL 2, SIL 3 SIL 4 (el SIL 4 es para aplicaciones nucleares).
El nivel SIL 1 es el que establece ms bajas especificaciones y el nivel SIL 4 el que establece mayores especificaciones.
Dado que el nivel SIL representa el grado de certidumbre requerido para el desempeo de la Funcin Instrumentada de Seguridad, IEC 61508 determina que el nivel SIL vara en funcin no solo del diseo y proceso constructivo de los equipos que conforman el Lazo de Seguridad, sino tambin del factor de cobertura del diagnstico de fallas que suministren estos equipos. En otras palabras, sin diagnsticos el SIL es bajo, pero se eleva cuando se provee diagnstico en tiempo real del equipo, as como el intervalo de ejecucin de pruebas del funcionamiento adecuado -intervalo de pruebas-, de la velocidad de respuesta y del tiempo medio de reparacin de fallas.
IEC 61508, consiste de 7 partes:
IEC 61508-1 Requisitos generales. IEC 61508-2 Requisitos de los sistemas elctricos/electrnicos/electrnicos programables relacionados a seguridad. IEC 61508-3 Requisitos de software. IEC 61508-4 Definiciones y abreviaturas. IEC 61508-5 Ejemplos de mtodos para la determinacin de niveles de integridad de seguridad. IEC 61508-6 Guas para la aplicacin de IEC 61508-2 e IEC 61508-3. IEC 61508-7 Revisin de tcnicas y medidas.
2.2.2 LA NORMA IEC 61511
La norma IEC 61511 Seguridad funcional, -Sistemas Instrumentados de Seguridad para el Sector de la Industria de Transformacin dirigida a los usuarios finales, establece que stos deben cumplir un ciclo de vida del SIS, el cual incluye el anlisis actualizado del riesgo, diseo, instalacin, comisionamiento,
21
validacin, operacin, mantenimiento, modificaciones y desmantelamiento del SIS.
Este ciclo requiere la implementacin de procedimientos operativos de trabajo (manual de procedimientos), la documentacin de las pruebas funcionales, y el registro de los eventos asociados. De este modo, el usuario que requiera la implementacin de un SIS con un nivel SIL determinado, no solo debe asegurarse que el equipo que solicita y adquiere cumpla con IEC 61508, sino adems debe asegurarse que l mismo cumplir la Norma IEC 61511, mediante la actualizacin constante del ciclo de vida del SIS.
En la actualidad, los fabricantes de equipos estn desarrollando y presentando al mercado, elementos primarios de medicin, solucionadores lgicos y actuadores finales de seguridad con las aprobaciones necesarias para cumplir el nivel SIL requerido, mediante la inclusin de software especializado de diagnstico y que adems ejecutan peridicamente las pruebas funcionales de los equipos de campo, el registro de resultados de estas pruebas y de los eventos asociados, y la generacin de la documentacin necesaria, para el cumplimiento de las normas IEC 61508 e IEC 61511en forma integral.
22
CAPTULO III
23
GUA PARA LA DETERMINACIN DEL NIVEL SIL.
3.1 GRFICA DE LOS PARMETROS DEL RIESGO.
La tecnologa de los procesos industriales incorpora riesgos por el tipo de proceso, los productos obtenidos, las materias primas utilizadas y el medio ambiente y sus circunstancias. Los sistemas instrumentados automatizados pueden reducir estos riesgos. La seguridad funcional de los instrumentos de campo y de los sistemas de monitoreo y control debe ser asegurada mediante la deteccin, identificacin y control de las fallas de los mecanismos y del software de aplicacin.
El riesgo potencial de la tecnologa de los procesos es determinado de acuerdo a IEC 61511. Una reduccin de riesgo direccionada a cada riesgo en particular debe ser implementada. Los componentes utilizados deben cumplir los requisitos de IEC 61508 si implican el uso de tecnologas de automatizacin (Sistemas Instrumentados de Seguridad).
Los dos estndares, IEC 61511 e IEC 61508, clasifican a los sistemas y los riesgos involucrados en cuatro niveles SIL, desde el nivel SIL 1 (riesgo potencial bajo) hasta el nivel SIL 4 (riesgo potencial y sus consecuencias muy alto).
Teniendo determinados los riesgos y la necesidad de reducir estos riesgos mediante Sistemas Instrumentados de Seguridad, nos encontramos con la necesidad de establecer un Nivel de Integridad de Seguridad SIL requerido por el riesgo y que debern cumplir las Funciones Instrumentadas de Seguridad a implementar,
La grfica mostrada a continuacin, figura 3.1, de acuerdo a IEC 61508, nos ayuda a establecer en forma simplificada, la interrelacin de los parmetros del riesgo con el nivel SIL requerido.
Para poder utilizar la grfica debemos responder a las siguientes circunstancias:
1) Severidad de las consecuencias si el riesgo es iniciado:
C1 Dao leve a una persona, dao leve al ambiente. C2 Dao grave o muerte de una persona, dao moderado al ambiente. C3 Muerte de varias personas, dao fuerte al ambiente.
24
C4 Muerte de muchas personas, catstrofe al medio ambiente.
2) Frecuencia de exposicin de personas al riesgo, frecuencia de ocurrencia del riesgo:
F1 Muy raramente hasta frecuente por una persona. F2 De frecuente hasta permanente por una o mas personas.
3) Posibilidad de prevencin del riesgo:
P1 Posibilidades de prevencin. P2 No existe forma y/o es difcil la prevencin.
SEVERIDAD DE LAS PROBABILIDAD QUE CONSECUENCIAS EL RIESGO SEA INICIADO
EXPOSICION POSIBILIDAD
FRECUENCIA DE PREVENCION
DEL RIESGO
W3 W2 W1
A
--
-- C1
1
A
-- P1
F1
C2 P2 2
1
A F2 P1
C3 F1 P2 3
2
1 F2 P1
F1 P2 4
3
2 C4
P1
F2 B
4
3 P2
A SE REQUIERE UNA SALVAGUARDA NO SIS B UN SOLO SIS NO ES SUFICIENTE -- ES POSIBLE SEA UN RIESGO TOLERABLE 1,2,3,4 NIVEL DE INTEGRIDAD DE SEGURIDAD REQUERIDO (NIVEL SIL).
Figura 3.1 Matriz para la determinacin del nivel SIL requerido por el riesgo
26
3.2 ASIGNACIN DE LOS VALORES DE SIL.
La asignacin de los valores de SIL se realiza de acuerdo a la frecuencia permisible de los eventos de peligro con respecto a las consecuencias si estos eventos son iniciados. La asignacin de los valores de SIL se expresan para una estimacin de la Probabilidad de Falla en Demanda PFD como a continuacin se detallan en la tabla 3.1.
Riesgo Consecuencias Nivel SIL Frecuencia mxima permisible del riesgo (evento/ao). Falla en demanda de la Medida de seguridad, PFD (evento/ao). Bajo Lesiones a una persona 1 1.0 x 10 -1 10 -1 < PFD < 10 -2
Moderado Muerte de una persona 2 1.0 x 10 -2 10 -2 < PFD < 10 -3
Severo Muerte de varias personas 3 1.0 x 10 -3 10 -3 < PFD < 10 -4
Catastrfico Muerte de muchas personas 4 1.0 x 10 -4 10 -4 < PFD < 10 -5
Tabla 3.1 Asignacin de los valores de SIL requeridos por el riesgo.
La frecuencia mxima permisible est dada en el nmero de eventos de riesgo por ao (eventos peligrosos / ao).
La Probabilidad de Falla en Demanda, PFD, est dada en el nmero de fallas de la medida de seguridad por ao (fallas peligrosas / ao).
Son valores prcticamente idnticos, sin embargo, es ms fcil identificar y cuantificar las fallas (historial de fallas) en los componentes fsicos de una medida de seguridad, mediante pruebas de Laboratorio en simuladores de fallas y mediante la compilacin de datos de experiencias de campo, por lo que los valores de PFD, son de importancia relevante.
27
CAPTULO IV
28
LA CARACTERIZACIN DE LOS NIVELES SIL.
4.1 NIVEL DE INTEGRIDAD DE SEGURIDAD (SIL).
Nuevamente, establecimos que uno de los indicadores para la evaluacin de las medidas de seguridad es la seguridad funcional implementada, es decir la garanta de funcionamiento de la medida de seguridad con respecto a una posible demanda real del riesgo de la planta de procesos-.
Esta garanta de funcionamiento se apoya en el cumplimiento de los requisitos del riesgo tanto por la funcin de seguridad implementada como por el Nivel de Integridad de Seguridad SIL.
Donde el Nivel de Integridad de Seguridad SIL, -requerido por el riesgo-, es el grado de certidumbre del sistema relativo a seguridad de ejecutar la funcin de seguridad requerida bajo todas las condiciones establecidas dentro de un periodo de tiempo establecido, donde la combinacin riesgo-medida de seguridad-medio ambiente, son considerados como un todo.
4.2 LA PROBABILIDAD DE FALLAS.
La norma IEC 61508 establece que es ms fcil identificar y cuantificar las condiciones y causas de fallas en los instrumentos (hardware) que conforman las funciones de seguridad, para poder establecer una garanta de funcionamiento de la funcin de seguridad cuando es requerida en un periodo de tiempo dado.
Dos clases de SIL, son identificadas dependiendo del servicio provisto por la funcin de seguridad de acuerdo a los requisitos del riesgo:
Para funciones de seguridad que son activadas nicamente cuando son requeridas (modo de baja demanda). Para funciones de seguridad que estn continuamente activadas, la probabilidad de una falla peligrosa de la funcin de seguridad es expresada en trminos de horas (modo continuo).
29
Probabilidad de falla (funciones de seguridad). Nivel SIL Modo de operacin en demanda, PFD prom. (probabilidad promedio de falla para ejecutar la funcin diseada bajo una demanda, expresada en aos) Modo de operacin continuo, PFH (probabilidad de falla peligrosa, expresada en horas) 4 10 -5 a < 10 -4 10 -9 a < 10 -8
3 10 -4 a < 10 -3 10 -8 a < 10 -7
2 10 -3 a < 10 -2 10 -7 a < 10 -6
1 10 -2 a < 10 -1 10 -6 a < 10 -5
Tabla 4.1 Probabilidad de fallas de la funcin de seguridad.
De los datos proporcionados por la tabla 4.1, observamos que, si despus del anlisis del riesgo se decide que la funcin de seguridad deber cumplir con un SIL inferior a SIL 1, uno de los requisitos de IEC 61508 es que cuando un proceso es considerado benigno, con riesgos tolerables, los componentes del Sistema Bsico de Control de Procesos, los cuales se desempean como del tipo continuo, si tienen alguna funcin relativa a seguridad deben demostrar al menos tener una tasa de fallas peligrosas de 10 -5 por hora.
El cumplimiento de las tasas de falla requeridas se logra mediante el uso de componentes elctricos y/o electrnicos de buena calidad, del mejor diseo y arquitectura.
4.3 CARACTERIZACIN DE LOS COMPONENTES DEL SIS PARA RECLAMAR UN CUMPLIMIENTO SIL.
IEC 61508 establece para la asignacin de un nivel SIL a una Funcin Instrumentada de Seguridad SIF, que los componentes de la funcin de seguridad, adems de cumplir las condiciones de falla en demanda y/o falla por hora, debern cumplir los parmetros siguientes: la fraccin de falla segura y la tolerancia a fallas del hardware.
4.3.1 LA FRACCIN DE FALLA SEGURA.
La Fraccin de Falla Segura (SFF por sus siglas en ingls) es una fraccin que se obtiene del total de fallas de los instrumentos, que son estimadas ya sea
30
como fallas seguras y/o detectables por el software de diagnstico, y las estimadas como fallas peligrosas, entonces tenemos los siguientes trminos:
se guro = Tasa de falla de componentes dirigido a un estado seguro.
= Tasa de falla de componentes dirigido a un estado potencialmente peligroso.
Estos trminos son posteriormente categorizados como detectables y no detectables para reflejar la habilidad del software de diagnstico embebido en el instrumento, como sigue:
dd = Tasa de fallas peligrosas detectables.
= Tasa de fallas peligrosas no detectables.
La suma de todas las tasas de falla es expresada como:
total = seguros + peligrosos
Entonces, la fraccin de falla segura SFF puede ser calculada como:
SFF = 1 - / total
IEC 61508 establece 4 bandas expresadas en porciento para la Fraccin de Falla Segura SFF, como sigue:
<60%, de 60% a <90%, de 90% a <99%, >99%.
Evidentemente el valor de la Fraccin de Falla Segura es un indicador de la capacidad de cobertura del software de diagnstico embebido en el instrumento y/o sistema. Por lo tanto, las bandas de SFF establecidas por IEC 61508 en realidad son 4 especificaciones de calidad del software de autodiagnstico con respecto a la cobertura de fallas.
31 4.3.2 LA TOLERANCIA A FALLAS DEL HARDWARE.
IEC 61508 considera la integridad segura del hardware y entonces define dos subsistemas. Para el subsistema tipo A considera que todos los posibles modos de falla son determinados para todos los elementos, mientras que para el
subsistema tipo B no es posible completamente determinar el comportamiento bajo condiciones de falla.
SUBSISTEMA TIPO A.
Por ejemplo: Un transmisor de campo contiene las siguientes caractersticas:
Los modos de falla de todos los componentes estn bien definidos. El comportamiento bajo condiciones de falla puede ser completamente determinado. Los datos de la experiencia en campo son suficientes y confiables y muestran que las tasas de fallas peligrosas detectables y no detectables publicadas son cumplidas.
Entonces, un Instrumento con caractersticas del subsistema tipo A, puede reclamar un cumplimiento de un nivel SIL especifico, de acuerdo a la tabla 4.2.
Fraccin de Falla segura, SFF Tolerancia a Fallas del Hardware, HFT 0 1 2 < 60% SIL 1 SIL 2 SIL 3 60% a < 90% SIL 2 SIL 3 SIL 4 90% a < 99% SIL 3 SIL 4 SIL 4 > 99% SIL 3 SIL 4 SIL 4
Tabla 4.2 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo A relativos a seguridad.
SUBSISTEMA TIPO B.
Por ejemplo: Un solucionador lgico contiene las siguientes caractersticas:
32
El modo de falla de por lo menos un componente no es bien definido. El comportamiento bajo condiciones de falla no puede ser completamente determinado. Los datos de la experiencia en campo son insuficientes para demostrar que las tasas de fallas peligrosas detectables y no detectables publicadas son cumplidas.
Entonces, un instrumento con caractersticas del subsistema tipo B, puede reclamar un cumplimiento de un nivel SIL especifico, de acuerdo a la tabla 4.3.
Fraccin de Falla Segura, SFF Tolerancia a Fallas del Hardware, HFT 0 1 2 < 60% No permitido SIL 1 SIL 2 60% a < 90% SIL 1 SIL 2 SIL 3 90% a < 99% SIL 2 SIL 3 SIL 4 > 99% SIL 3 SIL 4 SIL 4
Tabla 4.3 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo B relativos a seguridad.
En las tablas 4.2 y 4.3, una Tolerancia a Fallas del Hardware de N significa que N+1 fallas pueden causar una prdida de la funcin de seguridad. Por ejemplo, si un subsistema tipo A B, reclaman tener una Tolerancia a Fallas de 1, esto quiere decir que se requiere que ocurran 2 fallas en el sistema para que la funcin de seguridad se pierda.
4.3.3 UN EJEMPLO:
Aplicacin en modo de Baja Demanda. Sistema de Paro de Emergencia.
Un Sistema de Paro de Emergencia (ESD por sus siglas en ingls) es utilizado para poner fuera de operacin un proceso industrial parte del mismo, en forma segura, en caso de una falla del Sistema Bsico de Control del Proceso (IEC lo define como BPCS), cuando determinados parmetros crticos exceden lmites pre-establecidos.
33 Un ESD es utilizado para proteger contra daos fsicos de los equipos, dao al proceso industrial, prdida de vida humana, daos severos al medio ambiente.
El sistema ESD es casi siempre un sistema separado al Sistema Bsico de Control, y generalmente tiene sus propios sensores y actuadores dedicados al mismo.
Una aplicacin tpica se muestra en el diagrama siguiente (figura 4.1):
Figura 4.1 Diagrama esquemtico de un ESD.
Las caractersticas relevantes de los dispositivos de entrada/salida al PLC de seguridad (Solucionador Lgico) en un Sistema ESD son las siguientes:
Entradas analgicas tipo 4-20 mA son usadas para la comunicacin con los diferentes Transmisores de valores crticos.
Salidas digitales normalmente energizadas son utilizadas para las vlvulas de seguridad, las cuales pueden ser vlvulas de corte y/o vlvulas de relevo.
Entradas digitales son utilizadas para monitorear contactos libres de voltaje.
El monitoreo de fallas en los conductores elctricos se realiza mediante resistores de fin de lnea, utilizados para identificar y reportar circuitos abiertos y/o cortocircuito en el cableado de campo.
34
Probabilidad de Falla en Demanda.
La Probabilidad de Falla en Demanda para cada una de las funciones de seguridad manejadas por el sistema ESD, es la suma de las probabilidades promedio de cada elemento de la funcin de seguridad:
Figura 4.2 Suma de probabilidades promedio.
Podemos observar que todos los componentes de la funcin de seguridad estn operando en modo continuo, aunque la funcin de seguridad opera en modo Bajo Demanda, entonces:
Los lmites de SIL 2 para PFDprom es 10 -3 a < 10 -2 , entonces para esta Funcin de Seguridad el Nivel de Integridad de Seguridad es SIL 2.
Alternativas de Arquitectura de la Funcin de Seguridad.
Si la arquitectura de la funcin de seguridad de nuestro ejemplo es la siguiente (figura 4.3):
35
Figura 4.3 Arquitectura de la funcin de seguridad
La Tolerancia a Fallas del Hardware de la Funcin de Seguridad es Cero (N = 0) puesto que una falla en cualquiera de los componentes conlleva a la prdida de la funcin de seguridad (tambin conocidos como sistemas 1oo1).
Si la arquitectura de la funcin de seguridad considera un segundo transmisor para la variable crtica segn se muestra (figura 4.4), tendremos:
Figura 4.4 Arquitectura de la funcin de seguridad considerando un segundo transmisor para la variable crtica
La Tolerancia a Fallas del Hardware de la Funcin de Seguridad es uno (N = 1) puesto que una falla en cualquiera de los componentes no conlleva a la prdida de la funcin de seguridad (tambin conocidos como sistemas 1oo2).
Para esta presuncin partimos de los siguientes datos:
Para el transmisor de presin, du = 100x10 -9 , total = 2.9x10 -7 , du/ total = 0.34, SFF = 66%; por lo tanto:
36
SFF = 66% Sistema 1oo1 N = 0 calificacin SIL 2 subsistema tipo A
SFF = 66% Sistema 1oo2 N = 1 calificacin SIL 3 subsistema tipo A
Para el Solucionador Lgico (PLC de seguridad), du = 100x10 -9 , total = 1.77x10 -6 , du/ total = 0.06, SFF = 94%, N = 1, subsistema tipo B; por lo tanto:
SFF = 94% N = 1 calificacin SIL 3 subsistema tipo B
37
CONCLUSIONES.
38
La industria de procesos requiere que las medidas de seguridad que se implementan como sistemas de reduccin de riesgos cumplan con parmetros estandarizados desde su concepcin hasta inclusive su desmantelamiento.
Cada sistema de reduccin de riesgos deber incluir una funcin de seguridad y un determinado nivel de certidumbre de que la funcin de seguridad actuar si es demandada por el riesgo.
Tanto la funcin de Seguridad como el nivel de certidumbre de seguridad debern ser determinados de acuerdo a la severidad de las consecuencias del riesgo y a la frecuencia de exposicin al riesgo.
Si los sistemas de reduccin de riesgos utilizan dispositivos elctricos, electrnicos y/o electrnicos programables debern cumplir los requisitos establecidos en las normas IEC 61508 e IEC 61511, las cuales son de aprobacin internacional.
Las normas IEC 61508 e IEC 61511 introducen el concepto seguridad funcional, el cual viene determinado por un Nivel de Integridad de Seguridad (SIL por sus siglas en ingls) para cada funcin de seguridad y para cada uno de los componentes de la funcin de seguridad. Asimismo, las normas permiten el uso de diferentes arquitecturas y la utilizacin de tecnologas diversas para la conformacin de las medidas de seguridad.
Las normas no dicen como debe hacerse ni con que elementos, pero si establecen los requisitos funcionales que deben cumplirse.
39
BIBLIOGRAFA
Brown, Simon. IEC 61511 Safety Instrumented Systems Overview & Current Status. HM Principal Specialist Inspector Control & Instrumentation Systems Health & Safety Executive. November 13, 2002. en: http://docs.google.com/gview?a=v&q=cache:0barKV5IWq0J:www.sipi61508.co m/ciks/uk.browns.pdf+iec+61511&hl=es&gl=mx Exida. IEC 61508 Overview Report. Sellersville, PA 18960, USA. Version 2.0. January 2, 2006. en: http://74.125.95.132/search?q=cache:xly8N7QqhLAJ:www.exida.com/articles/ie c61508_overview.pdf+iec+61508&cd=6&hl=es&ct=clnk&gl=mx http://books.google.com.mx/books?id=kta4crf5K8sC&pg=PA102&dq=instrumentacion +industrial&lr=&as_brr=0 http://www.emb.cl/electroindustria/articulo.mv?xid=916&edi=49 http://www.iir.es/Evento/eventonew_clean_v1_00.asp?idConvocatoria=4109&idEvento =4208 http://webmessenger.msn.com/ http://books.google.com.mx/books?id=uCHD9MsrM- 8C&pg=PA10&dq=seguridad+funcional&lr=&as_brr=1&client=news http://images.google.com.mx/imgres?imgurl=http://www.schneider- electric.com.mx/opencms/opencms/Newsletter/img/07jul08_04_seguridad_01.g if&imgrefurl=http://www.schneider- electric.com.mx/opencms/opencms/Newsletter/DisplayNewsletter.jsp%3FFileN ame%3D30jul08/04_seguridad.html&usg=__TNKvB18SBnX6u- B_l_OSnxXYDCw=&h=313&w=299&sz=26&hl=es&start=26&tbnid=6Z6- CHk9T_RgXM:&tbnh=117&tbnw=112&prev=/images%3Fq%3Dsistemas%2Bin strumentados%2Bde%2Bseguridad%26ndsp%3D18%26hl%3Des%26lr%3D% 26client%3Dnews%26sa%3DN%26start%3D18 http://www.siemens.com/sil
40
http://www.siemens.com/safety http://www.siemens.com/processanalytics http://www.siemens.com/processsafety http://www.siemens.com/processinstrumentation Ruz, J. Sistema de seguridad IEC 61508. SIEMSA CONTROL Y SISTEMAS, S.A. en: http://docs.google.com/gview?a=v&q=cache:OXpHe4UgkewJ:www.isa- spain.org/images/biblioteca_virtual/redundancia%2520sist..pdf+iec+61508&hl= es&gl=mx
41
GLOSARIO
C Severidad ESD Paro de Emergencia F Frecuencia Hazop Anlisis de peligro IEC Comisin Electrotcnica Internacional MSI Medidas de Seguridad Independientes P Posibilidad PFD Probabilidad de Falla en Demanda PLC Control de Presin Baja PSV Vlvulas de Seguridad QRA Evaluacin de Riesgo SBCP Sistemas Bsicos de Control de Procesos SFF Fraccin de Falla Segura SIF Funciones Instrumentadas de Seguridad SIL Nivel de Integridad de Seguridad SIS Sistemas Instrumentados de Seguridad W Probabilidad