Descripcion_Sistemas_de_Seguridad_Instrumentado.pdf

02-07-2011

1

Sistemas Instrumentados de SeguridadSistemas Instrumentados de Seguridad

Fuente principal:Curso “Seguridad Funcional, Análisis de Riesgos y SIS”, Juan Calderón (CFSE)

MGM - Parés y Álvarez, Mayo de 2011

ContenidoContenido

IntroducciónIntroducción Peligro y RiesgoPeligro y Riesgo Seguridad FuncionalSeguridad Funcional Normas AplicablesNormas Aplicables Normas AplicablesNormas Aplicables

Conceptos BásicosConceptos Básicos Función Instrumentada de Seguridad (SIF)Función Instrumentada de Seguridad (SIF)

Sistema de Seguridad Instrumentado (SIS)Sistema de Seguridad Instrumentado (SIS)

Capas de Protección Independientes (IPL)Capas de Protección Independientes (IPL)

Probabilidad de Falla en Demanda (PFD)Probabilidad de Falla en Demanda (PFD)

Nivel Integral de Seguridad (SIL)Nivel Integral de Seguridad (SIL)

E ifi ió d R i i t d S id d (SRS)E ifi ió d R i i t d S id d (SRS)

Sistemas Instrumentados de Seguridad / Contenido 2

Especificación de Requerimientos de Seguridad (SRS)Especificación de Requerimientos de Seguridad (SRS)

Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas)Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas)

Arquitecturas de SIS (MooN)Arquitecturas de SIS (MooN)

Ciclo de Vida de una SIFCiclo de Vida de una SIF

02-07-2011

2

IntroducciónIntroducción

Los Sistemas de Seguridad nacen de la necesidad de tener Los Sistemas de Seguridad nacen de la necesidad de tener procesos más seguros, donde el riesgo alcance un nivel tolerable.procesos más seguros, donde el riesgo alcance un nivel tolerable.

Riesgo y Peligro:Riesgo y Peligro: Riesgo:Riesgo: Combinación entre probabilidad de ocurrencia de un daño Combinación entre probabilidad de ocurrencia de un daño

(frecuencia) y su severidad (consecuencia).(frecuencia) y su severidad (consecuencia).

Peligro:Peligro: Fuente potencial de daño a las personas, ambiente, o Fuente potencial de daño a las personas, ambiente, o propiedad.propiedad.

El riesgo cero El riesgo cero no existeno existe. Se puede disminuir minimizando la . Se puede disminuir minimizando la frecuenciafrecuenciadel evento que genera el daño, su del evento que genera el daño, su severidadseveridad o ambas.o ambas.

La La FrecuenciaFrecuencia: Prevención, el evento no ha ocurrido. Ej.: Un control de nivel que : Prevención, el evento no ha ocurrido. Ej.: Un control de nivel que disminuye la probabilidad de derramedisminuye la probabilidad de derrame

Sistemas Instrumentados de Seguridad / Introducción 3

disminuye la probabilidad de derrame.disminuye la probabilidad de derrame.

La La SeveridadSeveridad: Mitigación, el evento ya ocurrió. Ej.: Un sistema de detección de : Mitigación, el evento ya ocurrió. Ej.: Un sistema de detección de incendio. La fuga de gas o generación de llama ya ocurrió.incendio. La fuga de gas o generación de llama ya ocurrió.

El objetivo es alcanzar un riesgo tolerable, aceptable o meta.El objetivo es alcanzar un riesgo tolerable, aceptable o meta. El El Riesgo Tolerable Riesgo Tolerable se mide en términos de fatalidades o eventos que se mide en términos de fatalidades o eventos que

pueden causar daño por año. Es definido por cada empresa.pueden causar daño por año. Es definido por cada empresa.


Seguridad Funcional: Seguridad Funcional: Parte de la seguridad que depende del Parte de la seguridad que depende del funcionamiento correcto de equipos en respuesta a sus entradas. funcionamiento correcto de equipos en respuesta a sus entradas. Se basa en funciones de seguridad.Se basa en funciones de seguridad.

Función de seguridad:Función de seguridad: Cualquier función que permita reducir el Cualquier función que permita reducir el riesgo asociado a una situación peligrosa.riesgo asociado a una situación peligrosa. La definición de lo que hará proviene de un análisis de peligros. Qué tan buena La definición de lo que hará proviene de un análisis de peligros. Qué tan buena

será proviene de un análisis y evaluación del riesgo. Ej.: control orientado a será proviene de un análisis y evaluación del riesgo. Ej.: control orientado a prevenir el derrame de un estanque, uso de casco, carcasa de un motor. prevenir el derrame de un estanque, uso de casco, carcasa de un motor.

Cuando se utilizan instrumentos se habla de una Cuando se utilizan instrumentos se habla de una Función Instrumentada de Función Instrumentada de Seguridad (SIF)Seguridad (SIF). .


Si los instrumentos son de naturaleza eléctrica, electrónica o Si los instrumentos son de naturaleza eléctrica, electrónica o electrónica programable (E/electrónica programable (E/E/E/PE) quedan sujetos a loPE) quedan sujetos a lo especificado especificado en las normas: IEC 61508 e IEC 61511. en las normas: IEC 61508 e IEC 61511.

02-07-2011

3


IEC 61508: Functional Safety of Electrical/Electronic/Programmable IEC 61508: Functional Safety of Electrical/Electronic/Programmable Electronic SafetyElectronic Safety--Related SystemsRelated Systems

Aplica a fabricantes y proveedores de dispositivos.Aplica a fabricantes y proveedores de dispositivos.

E ifi ó tifi di i t l d t d t ll lE ifi ó tifi di i t l d t d t ll l Especifica cómo certificar en rendimiento los productos y detalla los Especifica cómo certificar en rendimiento los productos y detalla los requerimientos necesarios para alcanzar cada SIL.requerimientos necesarios para alcanzar cada SIL.

IEC 61511: Safety Instrumented Systems for the Process Industry IEC 61511: Safety Instrumented Systems for the Process Industry SectorSector

Aplica a diseñadores, integradores y usuarios finales de SIS.Aplica a diseñadores, integradores y usuarios finales de SIS.

Especifica cómo se aplican los conceptos de la IECEspecifica cómo se aplican los conceptos de la IEC--61508 a la industria del 61508 a la industria del procesoproceso


proceso.proceso.

Define el Ciclo de Vida de Seguridad Funcional.Define el Ciclo de Vida de Seguridad Funcional.

Existe la ANSI/ISA 84.00.01 que es una copia de la IEC 61511.Existe la ANSI/ISA 84.00.01 que es una copia de la IEC 61511.

Conceptos BásicosConceptos Básicos

Función Instrumentada de Seguridad (SIF)Función Instrumentada de Seguridad (SIF)

Sistema de Seguridad Instrumentado (SIS)Sistema de Seguridad Instrumentado (SIS)



Nivel Integral de Seguridad (SIL)Nivel Integral de Seguridad (SIL)


Sistemas Instrumentados de Seguridad / Conceptos Básicos 6

Tipos de Fallas (seguras, peligrosas, detectadas, no Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas)detectadas)

02-07-2011

4

Sistema Sistema InstrumentadoInstrumentado de Seguridad (SIS)de Seguridad (SIS)

Es un conjunto de una o más funciones instrumentadas de Es un conjunto de una o más funciones instrumentadas de seguridad (SIF), cuyo objetivo es llevar el proceso a un estado seguridad (SIF), cuyo objetivo es llevar el proceso a un estado seguro cuando se presentan ciertas condiciones de riesgo.seguro cuando se presentan ciertas condiciones de riesgo.

Es un sistema independiente del sistema de control (BPCS) y por Es un sistema independiente del sistema de control (BPCS) y por definición es automático.definición es automático.

BPCS

Logic Solver


SensorActuador SensorActuador


Función de seguridad con cierto SIL implantada en un SIS con el Función de seguridad con cierto SIL implantada en un SIS con el objeto de lograr un nivel de seguridad funcional requerido.objeto de lograr un nivel de seguridad funcional requerido.

Está compuesto por cualquier combinación de sensores, Está compuesto por cualquier combinación de sensores, Logic Logic

En un SIS puede coexistir más de una SIF con SIL diferentes.En un SIS puede coexistir más de una SIF con SIL diferentes.

Una SIF requiere un factor de reducción de riesgo mínimo de 10 Una SIF requiere un factor de reducción de riesgo mínimo de 10 para considerarlo con categoría SIL.para considerarlo con categoría SIL.

p p q ,p p q , ggSolverSolver y elementos de acción final. Cualquiera de ellos que falle y elementos de acción final. Cualquiera de ellos que falle falla la SIF.falla la SIF.


02-07-2011

5


Cómo identificar una SIFCómo identificar una SIF

Experiencia previa en procesos similares y normativas de la empresa.Experiencia previa en procesos similares y normativas de la empresa.

Algunas SIF ya están definidas en algunas normas.Algunas SIF ya están definidas en algunas normas.

Análisis de peligros:Análisis de peligros: Listas de verificación (check list): aplicaciones simples (Ej.: bombas)Listas de verificación (check list): aplicaciones simples (Ej.: bombas)

Análisis “what if”: “qué pasa si” (similar al anterior)Análisis “what if”: “qué pasa si” (similar al anterior)

Análisis de peligros y operatividad (HAZOP): método formal para nuevos procesos, Análisis de peligros y operatividad (HAZOP): método formal para nuevos procesos, orientado a la industria de procesosorientado a la industria de procesos

Análisis de modos de fallas y efectos (FMEA): para procesos de índole mecánica (Ej.: Análisis de modos de fallas y efectos (FMEA): para procesos de índole mecánica (Ej.: tornos, prensas, grúas, etc.)tornos, prensas, grúas, etc.)

Árboles de falla (Fault Tree): método deductivo que parte de un evento peligroso y se Árboles de falla (Fault Tree): método deductivo que parte de un evento peligroso y se d ll h i b j b d P it áli i lit ti tit tid ll h i b j b d P it áli i lit ti tit ti

Algunas SIF ya están definidas en algunas normas.Algunas SIF ya están definidas en algunas normas.


desarrolla hacia abajo buscando causas. Permite análisis cualitativo y cuantitativo.desarrolla hacia abajo buscando causas. Permite análisis cualitativo y cuantitativo.


Grupo de equipos y/o controles administrativos que funcionan en Grupo de equipos y/o controles administrativos que funcionan en concierto con otras capas de protección, para prevenir o mitigar un concierto con otras capas de protección, para prevenir o mitigar un riesgo en el proceso.riesgo en el proceso.

Para ser considerado IPL debe rPara ser considerado IPL debe reducireducir el riesgo 10 veces como mínimoel riesgo 10 veces como mínimo..

Debe tener un grado de disponibilidad de al menos 90%Debe tener un grado de disponibilidad de al menos 90%..

Una SIF es una Capa de Protección.Una SIF es una Capa de Protección.

Debe prevenir o mitigar las consecuencias de un evento peligroso específico Debe prevenir o mitigar las consecuencias de un evento peligroso específico (especificidad). Ej.: válvula de alivio(especificidad). Ej.: válvula de alivio..

Debe ser independiente de otras IPL e independientes del origen del problema, Debe ser independiente de otras IPL e independientes del origen del problema, es decir, el efecto de un evento en una capa no impacta otras capas. Ej.: la falla es decir, el efecto de un evento en una capa no impacta otras capas. Ej.: la falla


de la válvula de alivio no implica que fallará el de la válvula de alivio no implica que fallará el switchswitch de presiónde presión..

Debe ser diseñada para manejar tanto fallas sistemáticas como aleatoriasDebe ser diseñada para manejar tanto fallas sistemáticas como aleatorias..

Debe facilitar una validación regular de la función, es decir, permitir probar que la Debe facilitar una validación regular de la función, es decir, permitir probar que la función es efectiva. Ej.: si la válvula de alivio no puede probarse no puede función es efectiva. Ej.: si la válvula de alivio no puede probarse no puede considerarse capa de protecciónconsiderarse capa de protección..

02-07-2011

6


Probabilidad promedio que tiene una SIF para fallar ante una Probabilidad promedio que tiene una SIF para fallar ante una demanda de su funcionalidad (modo demanda). Determina el grado demanda de su funcionalidad (modo demanda). Determina el grado de integridad que debe tener cada SIF.de integridad que debe tener cada SIF.

Modo Baja Demanda:Modo Baja Demanda: El peligro se manifestará (consecuencia) cuando se dé el El peligro se manifestará (consecuencia) cuando se dé el evento iniciador y falle la SIF. Se considera baja demanda cuando la SIF es evento iniciador y falle la SIF. Se considera baja demanda cuando la SIF es demandada menos de 1 vez al año.demandada menos de 1 vez al año.

Una SIF puede ser ejecutada en modo de baja o alta demanda Una SIF puede ser ejecutada en modo de baja o alta demanda (continuo). En el segundo caso la PFD es 4 ó(continuo). En el segundo caso la PFD es 4 órdenesrdenes de magnitud de magnitud más exigente.más exigente.

Modo Alta Demanda:Modo Alta Demanda: El peligro está permanentemente presente por lo tantoEl peligro está permanentemente presente por lo tanto


Modo Alta Demanda:Modo Alta Demanda: El peligro está permanentemente presente, por lo tanto El peligro está permanentemente presente, por lo tanto se manifestará (consecuencia) cuando falle la SIF. Se considera alta demanda se manifestará (consecuencia) cuando falle la SIF. Se considera alta demanda cuando la SIF es demandada más de 1 vez al año. Se diseña en función de la cuando la SIF es demandada más de 1 vez al año. Se diseña en función de la probabilidad de falla por hora.probabilidad de falla por hora.

Nivel de Integridad de Seguridad (SIL)Nivel de Integridad de Seguridad (SIL)

Es un valor discreto que indica el Es un valor discreto que indica el factor de disminución de riesgo factor de disminución de riesgo (RRF)(RRF) que es capaz de brindar la SIF dentro de un SIS. que es capaz de brindar la SIF dentro de un SIS. No es una No es una propiedad del SIS, es una propiedad de la SIFpropiedad del SIS, es una propiedad de la SIF..

SIL PFD(baja demanda)

PFD(alta demanda)

RRF Disponibilidad

4 ≥10-5 a <10-4 ≥10-9 a <10-8 >10.000 a ≤100.000 >99,99%

3 ≥10-4 a <10-3 ≥10-8 a <10-7 >1.000 a ≤10.000 99,90 a 99,99%

2 ≥10-3 a <10-2 ≥10-7 a <10-6 >100 a ≤1.000 99,00 a 99,90%


1 ≥10-2 a <10-1 ≥10-6 a <10-5 >10 a ≤100 99,00 a 99,00%

02-07-2011

7


Concepto de SIL y RiesgoConcepto de SIL y Riesgo

RegiónNo AceptableRnp p

Reducción de CRiesgo Intermedio (sin SIS)

p

SIL 1

SIL 2

Fnp


RegiónTolerable

Región Aceptable

Riesgo Final

SIL 3

Consecuencia (C)Cnp


Concepto de SIL y RiesgoConcepto de SIL y Riesgo

Se tiene un Se tiene un Riesgo Inherente (Riesgo Inherente (RnpRnp)), es decir, sin capas de protección., es decir, sin capas de protección.

Ejemplo:Ejemplo: estanque con riesgo de derrameestanque con riesgo de derrame

g (g ( pp)), , p p, , p p

Se puede disminuir la frecuencia (F) agregando una Se puede disminuir la frecuencia (F) agregando una Capa de ProtecciónCapa de Protección. Ej.: una alarma y acción . Ej.: una alarma y acción del operador. Pero la consecuencia no ha cambiado.del operador. Pero la consecuencia no ha cambiado.

Para disminuir la consecuencia (C) se puede instalar un pretil de contención. Disminuye el riesgo a un Para disminuir la consecuencia (C) se puede instalar un pretil de contención. Disminuye el riesgo a un valor de valor de Riesgo IntermedioRiesgo Intermedio, pero aún se está en la , pero aún se está en la Región No AceptableRegión No Aceptable → Incorporar una → Incorporar una Capa Capa de Protección Instrumentadade Protección Instrumentada (SIS)(SIS)..

Una primera capa puede reducir el riesgo en una orden de magnitud (10 veces, es decir, SIL 1), con Una primera capa puede reducir el riesgo en una orden de magnitud (10 veces, es decir, SIL 1), con lo cual llegamos a la lo cual llegamos a la Región TolerableRegión Tolerable..

Una segunda Capa de Protección puede reducir el riesgo en dos órdenes de magnitud (100 veces, es Una segunda Capa de Protección puede reducir el riesgo en dos órdenes de magnitud (100 veces, es d i SIL 2) l l ll ld i SIL 2) l l ll l R ió A t blR ió A t bl


Si se desea puede reducirse aún más el riesgo agregando más capas de protección, pudiendo llegar Si se desea puede reducirse aún más el riesgo agregando más capas de protección, pudiendo llegar a SIL 3.a SIL 3.

decir, SIL 2), con lo cual se llega a la decir, SIL 2), con lo cual se llega a la Región AceptableRegión Aceptable..

02-07-2011

8


Métodos para determinar el SILMétodos para determinar el SIL Existen diversos métodos. Existen diversos métodos. Dependerá de la complejidad del caso, experiencia Dependerá de la complejidad del caso, experiencia

en procesos similares y severidad de las consecuencias.en procesos similares y severidad de las consecuencias.

Normalmente las empresas tienen definido el método a utilizar.Normalmente las empresas tienen definido el método a utilizar.pp

Es recomendable hacer siempre una análisis cualitativo, y para los que den Es recomendable hacer siempre una análisis cualitativo, y para los que den SIL>1, utilizar un método cuantitativo.SIL>1, utilizar un método cuantitativo.

TécnicaAnálisis

cualitativo(100% casos)

Semi-cuantitativo(10 a 20% casos)

Cuantitativo(10% casos)

AplicaciónMatriz de capas

de seguridadGráfico de

riesgoLOPA

Árbol de eventos

Árbol de fallas, modelos de Markov

Simple Bueno Bueno Bueno Excesivo Excesivo


p

Compleja Pobre Pobre Justo Justo Bueno


Ejemplo cálculo cuantitativo del SILEjemplo cálculo cuantitativo del SIL

Peligro (evento): explosión por pérdida de llama en una calderaPeligro (evento): explosión por pérdida de llama en una caldera

FrecuenciaFrecuencia pérdida de llama: pérdida de llama: 2/año2/año (determinado de un árbol de fallas)(determinado de un árbol de fallas)

Probabilidad de explosión: Probabilidad de explosión: 1/41/4 (dato histórico)(dato histórico)

Frecuencia de explosión sin capas de protección: Frecuencia de explosión sin capas de protección: FnpFnp = 2x1/4 = 0.5/año= 2x1/4 = 0.5/año

Consecuencia: una fatalidad (consecuencia crítica)Consecuencia: una fatalidad (consecuencia crítica)

Frecuencia tolerable: Frecuencia tolerable: Ft = 1/5000 año = 2.0x10Ft = 1/5000 año = 2.0x10--4 4 (dato de matriz de riesgos (dato de matriz de riesgos definida por la empresa)definida por la empresa)

Reducción de riesgo requerida: Reducción de riesgo requerida: RRF = RRF = FnpFnp/Ft = 0.5/2.0/Ft = 0.5/2.0x10x10--44 = 2500 veces= 2500 veces

Probabilidad de falla en demanda: Probabilidad de falla en demanda: PFDavgPFDavg = 1/RRF = 4.0= 1/RRF = 4.0x10x10--44 (esta es la (esta es la


gg ((máxima probabilidad de falla que puede tener la SIF) máxima probabilidad de falla que puede tener la SIF) → SIL 3→ SIL 3 (de tabla SIL)(de tabla SIL)

¿Cuántas y qué capas de protección pueden permitir alcanzar este SIL?¿Cuántas y qué capas de protección pueden permitir alcanzar este SIL?

→ Diseño→ Diseño El diseño se inicia con la definición de la SIF: El diseño se inicia con la definición de la SIF: ““ante pérdida de llama cerrar válvula de ante pérdida de llama cerrar válvula de

corte de gas piloto a quemador”corte de gas piloto a quemador”

02-07-2011

9


Especifica los requerimientos de seguridad del SIS.Especifica los requerimientos de seguridad del SIS.

Requerimientos Funcionales (especialistas de procesos y control)Requerimientos Funcionales (especialistas de procesos y control)

Definición del estado seguro, rango operación normal de variables de procesoDefinición del estado seguro, rango operación normal de variables de procesog gg g

Salidas SIF y sus acciones, relación entre entradas y salidas (causa/efecto)Salidas SIF y sus acciones, relación entre entradas y salidas (causa/efecto)

Selección de energizar o Selección de energizar o desenergizardesenergizar para dispararpara disparar

Definir tiempo de respuesta de la SIF (tiempo entre que ocurre una demanda de Definir tiempo de respuesta de la SIF (tiempo entre que ocurre una demanda de disparo hasta que el evento peligroso se lleva a cabo)disparo hasta que el evento peligroso se lleva a cabo)

Definir si se necesita parada manual, acciones ante pérdida de energía, Definir si se necesita parada manual, acciones ante pérdida de energía, respuestas ante fallas, etc.respuestas ante fallas, etc.

Requerimientos de IntegridadRequerimientos de Integridad (especialista de control)(especialista de control)


Requerimientos de Integridad Requerimientos de Integridad (especialista de control)(especialista de control) Definición del SIL requerido para cada SIFDefinición del SIL requerido para cada SIF

Requerimientos de diagnóstico (detectar fallas con pruebas manuales) y de Requerimientos de diagnóstico (detectar fallas con pruebas manuales) y de mantenimiento para lograr el SIL requeridomantenimiento para lograr el SIL requerido

Requerimientos de tasa de fallas seguras (evitar falsas paradas)Requerimientos de tasa de fallas seguras (evitar falsas paradas)


Documentos de entrada a SRSDocumentos de entrada a SRS

PFD, P&IDPFD, P&ID

Balances de masa y calorBalances de masa y calor

Descripción del procesoDescripción del proceso

Reportes de análisis de peligrosReportes de análisis de peligros

Listado de SIFListado de SIF

Reporte de selección de SIFReporte de selección de SIF

Documentos de salida de SRSDocumentos de salida de SRS

Requerimientos funcionales y de integridadRequerimientos funcionales y de integridad


y gy g

Descripción de lógicas (narrativas, diagramas causa/efecto, diagramas de lógica Descripción de lógicas (narrativas, diagramas causa/efecto, diagramas de lógica binaria, etc.)binaria, etc.)

02-07-2011

10

Tipos de FallasTipos de Fallas

Falla Segura (Falla Segura (SS))

Falla que no pone en peligro el proceso que se está protegiendo, pero sí lleva a Falla que no pone en peligro el proceso que se está protegiendo, pero sí lleva a pérdidas de producción. pérdidas de producción.

Se presenta cuando no existe el evento iniciador y se ejecuta la SIF por unaSe presenta cuando no existe el evento iniciador y se ejecuta la SIF por una Se presenta cuando no existe el evento iniciador y se ejecuta la SIF por una Se presenta cuando no existe el evento iniciador y se ejecuta la SIF por una falla, produciéndose una parada falsa.falla, produciéndose una parada falsa.

Falla Insegura o Peligrosa (Falla Insegura o Peligrosa (DD)) Falla que pone en peligro el proceso que se está protegiendo ante una Falla que pone en peligro el proceso que se está protegiendo ante una

demanda.demanda.

Se presenta cuando existe el evento iniciador y no se ejecuta la SIF por una Se presenta cuando existe el evento iniciador y no se ejecuta la SIF por una falla, produciéndose la consecuencia.falla, produciéndose la consecuencia.


Una Falla Segura o Peligrosa puede ser Detectada o No DetectadaUna Falla Segura o Peligrosa puede ser Detectada o No Detectada

SS = = SDSD + + SUSU

DD = = DDDD + + DUDU

Tasa de fallas de un sistema por unidad de tiempo: Tasa de fallas de un sistema por unidad de tiempo: = = SS + + DD


Falla DetectadaFalla Detectada Al ocurrir revelan su presencia o pueden ser detectadas mediante diagnóstico.Al ocurrir revelan su presencia o pueden ser detectadas mediante diagnóstico.

Cuando se detecta, el proceso se lleva a una condición segura, de modo que la Cuando se detecta, el proceso se lleva a una condición segura, de modo que la falla no genere una situación de peligrofalla no genere una situación de peligrofalla no genere una situación de peligro. falla no genere una situación de peligro.

Falla No DetectadaFalla No Detectada No revelan su presencia o permanecen en estado latente.No revelan su presencia o permanecen en estado latente.

Las Fallas Peligrosas No Detectadas (Las Fallas Peligrosas No Detectadas (DUDU) son las que comprometen la ) son las que comprometen la seguridad del proceso, pues se manifiestan sólo ante una demanda de la SIF. seguridad del proceso, pues se manifiestan sólo ante una demanda de la SIF.

Se busca disminuirlas aumentando la capacidad de diagnóstico, el cual puede Se busca disminuirlas aumentando la capacidad de diagnóstico, el cual puede ser automático o manual.ser automático o manual.

Al detectar una falla en un elemento después de repararlo la probabilidad deAl detectar una falla en un elemento después de repararlo la probabilidad de


Al detectar una falla en un elemento, después de repararlo la probabilidad de Al detectar una falla en un elemento, después de repararlo la probabilidad de falla se reinicia, siempre que no haya pasado su vida útil.falla se reinicia, siempre que no haya pasado su vida útil.

Se define la Cobertura del Diagnóstico (C)Se define la Cobertura del Diagnóstico (C) Porcentaje de fallas que el sistema de diagnóstico es capaz de detectar.Porcentaje de fallas que el sistema de diagnóstico es capaz de detectar.

DDDD = = DD ×× C C DUDU = = DD ×× (1 (1 –– C)C)

02-07-2011

11


Falla en Modo ComúnFalla en Modo Común

Evento que ocasiona una falla simultánea en dos o más elementos de un Evento que ocasiona una falla simultánea en dos o más elementos de un sistema.sistema.

Es aplicable sólo a sistemas redundantes lo que implica que la redundancia noEs aplicable sólo a sistemas redundantes lo que implica que la redundancia no

Puede ser atribuible al componente mismo o a las condiciones de operación. Puede ser atribuible al componente mismo o a las condiciones de operación.

Se reduce usando separación física, diversidad de tecnologías, etc. Se reduce usando separación física, diversidad de tecnologías, etc.

Ej.: sensores mal calibrados, obstrucción en toma de proceso cuando dos Ej.: sensores mal calibrados, obstrucción en toma de proceso cuando dos instrumentos usan la misma toma, error en los materiales, errores de software instrumentos usan la misma toma, error en los materiales, errores de software en CPUs, etc. en CPUs, etc.

Es aplicable sólo a sistemas redundantes, lo que implica que la redundancia no Es aplicable sólo a sistemas redundantes, lo que implica que la redundancia no necesariamente mejorará el desempeño. necesariamente mejorará el desempeño.

Se define la fracción de la Tasa de Fallas (Se define la fracción de la Tasa de Fallas (ββ) a la cual dos) a la cual dos


Se define la fracción de la Tasa de Fallas (Se define la fracción de la Tasa de Fallas (ββ) a la cual dos ) a la cual dos componentes fallan por la misma causa:componentes fallan por la misma causa:

CC = = ββ×× CC: tasa fallas común sobre dos componentes al mismo tiempo: tasa fallas común sobre dos componentes al mismo tiempo

β β nnormalmente ormalmente está está entre 2 y 10%.entre 2 y 10%.

NN = = ××(1 (1 –– ββ) ) NN: tasa fallas normal de cada componente individual: tasa fallas normal de cada componente individual

Arquitecturas de SIS (Arquitecturas de SIS (MooNMooN))

Lógica de votación MooN (M out of N)Lógica de votación MooN (M out of N)

M:M: indica cuántos componentes operan adecuadamenteindica cuántos componentes operan adecuadamente

N:N: indica con qué frecuencia se desarrolla la SIF (redundancia)indica con qué frecuencia se desarrolla la SIF (redundancia)

Simbología MooN Características

1oo1

1oo2

Seguro: cuando se abre se ejecuta la SIF.No tolerante: a fallas seguras ni peligrosas.

Seguro: cuando se abre cualquiera de ellos se ejecuta la SIF, aún si uno se queda pegado (tolera una falla peligrosa). Queda 1oo1.No tolerante a fallas seguras: si uno se abre por error se produce una parada falsa de la planta.

No seguro: si uno se queda pegado la SIF no se ejecutará (no tolera fallas peligrosas)


2oo2

2oo3

tolera fallas peligrosas).Tolerante a fallas seguras: si uno se abre por error la SIF no se ejecutará, pues deben abrirse ambos.

Seguro: cuando se abre un par (uno de cada rama) se ejecuta la SIF. Tolerante a una falla peligrosa: si uno falla aún puede ejecutarse la SIF (pues se necesitan 2). Queda 2oo2.Tolerante a fallas seguras: si uno se abre por error la SIF no se ejecutará, pues deben abrirse dos.

02-07-2011

12

Arquitecturas de SIS (Arquitecturas de SIS (MooNMooN))

Diagnóstico (D)Diagnóstico (D)

Detectar fallas que puedan afectar a la función antes que ésta sea demandada Detectar fallas que puedan afectar a la función antes que ésta sea demandada por un evento iniciador. Sólo reduce la tasa de fallas peligrosas no detectadas.por un evento iniciador. Sólo reduce la tasa de fallas peligrosas no detectadas.

Simbología MooN Características

1oo1D

1oo2D

D

D D

Seguro: se detecta si queda pegado. Si se queda pegado y el diagnóstico no lo detecta se producirá una falla peligrosa.No tolerante a fallas seguras.

Seguro: igual que 1oo2, pero además se detecta si queda pegado.Tolerante a una falla segura: si uno se abre por error se detecta y se inhibe (queda 1oo1D). No se produce la falsa parada.Tolerante a una falla peligrosa: puede ejecutarse la SIF (pues se necesita 1).


Ciclo de Vida de SeguridadCiclo de Vida de Seguridad

Permite desarrollar un marco conceptual para cada etapa del SIS, Permite desarrollar un marco conceptual para cada etapa del SIS, desde la concepción hasta su desmantelamientodesde la concepción hasta su desmantelamiento..

Dependiendo de la etapa pueden participar especialistas de Dependiendo de la etapa pueden participar especialistas de distintas disciplinas.distintas disciplinas.

Integra y aplica todos los conceptos descritos.Integra y aplica todos los conceptos descritos.

Sistemas Instrumentados de Seguridad / Ciclo de Vida de Seguridad 24

02-07-2011

13

Ciclo de Vida de SeguridadCiclo de Vida de SeguridadDiseño conceptual del proceso Análisis de riesgos y diseño ISL Asignación de SIF para ISL

- Con la seguridad en mente.- Especialistas: Procesos

- Identificación del peligro (HAZOP)- Estimación del riesgo- Establecimiento de Riesgo Tolerable- Especialistas: Procesos, Instrumentación,Electricidad, Seguridad, Operaciones

- Cuánto se va a reducir el riesgo- Responsabilidades a las ISL- Determinación de SIL para cada SIF- Especialistas: Procesos, Instrumentación,Electricidad, Seguridad, Operaciones

Definición de SRS Diseño e ingeniería de los SIS Validación

Proc. Operación/Mantenimiento Modificaciones Desmantelamiento

- Requisitos funcionales e integridad- Especialistas: Procesos, Control

- Especificación equipos, instrumentos,cantidad, tecnología, arquitectura

- Deben cumplir las SRS y SIL definidos- Especialistas: Control

- Antes de la partida- Revisión de cumplimiento de las SRS- FAT, SAT- Especialistas: Control

- Procedimientos operativos debendocumentar respuestas a desviaciones

- Cambios a SIS deben hacerse bajolos mismos pasos que la implementación

- El desmantelamiento de un SIS nodebe tener impacto en el proceso

Sistemas Instrumentados de Seguridad / Ciclo de Vida de Seguridad 25

Verificación

documentar respuestas a desviacionesdel proceso, alarmas y paradas, con susriesgos y consecuencias

- Procedimientos de mantenimientodetallados para retornar a servicio

- Especialistas: Mantenimiento

los mismos pasos que la implementación- Toda modificación debe documentarse- Especialistas: Procesos, Instrumentación,Electricidad, Seguridad, Operaciones

debe tener impacto en el proceso- Especialistas: Procesos, Instrumentación,Electricidad, Seguridad, Operaciones

- Los pasos se cumplen en forma adecuada y se generan los documentos de entrada y salida requeridos

Sistemas Instrumentados de SeguridadSistemas Instrumentados de Seguridad

Muchas GraciasMuchas Gracias

Consultas, comentariosConsultas, comentarios

Fuente principal:Curso “Seguridad Funcional, Análisis de Riesgos y SIS”, Juan Calderón (CFSE)

Parés y Álvarez, Mayo de 2011

Descripcion_Sistemas_de_Seguridad_Instrumentado.pdf

Documents

Transcript of Descripcion_Sistemas_de_Seguridad_Instrumentado.pdf