LO MINIMO QUE DEBERÍA SABER SOBRE SIS

LO MÍNIMO QUE DEBERÍA SABER SOBRE SIS Víctor D. Parra Mateo 2014

1

Título: Lo mínimo que debería saber sobre SIS

Área de interés: SIS, SIL, SIF, Seguridad Funcional, IEC 61511, ISA S84.01-2004,

Sistema Instrumentado de Seguridad, Nivel de Integridad de la Seguridad, Función Instrumentada de Seguridad

Autor: Víctor D. Parra Mateo [email protected]

http://www.linkedin.com/in/victordparra

INTRODUCCIÓN La Seguridad Funcional es en la actualidad un “tema de moda”, lamentablemente a causa de graves accidentes en la industria de procesos. Como consecuencia de ellos, este tipo de industrias está cada vez más regulada.

A lo largo de su práctica profesional, el autor se ha “encontrado” varias veces con distintos conceptos relacionados con la Seguridad Funcional, lo que le ha obligado a estudiar sobre el tema.

El presente paper pretende recopilar muchos conceptos a modo de una introducción amable a la Seguridad Funcional. Se pretende que la información sea accesible, por eso no se pretende profundizar demasiado en los conceptos y se ofrecen en forma de preguntas usuales y errores frecuentes.

¿QUÉ ES LA SEGURIDAD FUNCIONAL? Dentro de la Seguridad Completa, la Seguridad Funcional es la parte que depende del funcionamiento correcto del proceso o equipo en respuesta a sus entradas.

La IEC TR 61508-0 ofrece el siguiente ejemplo para ayudar a aclarar el significado de la Seguridad Funcional:

“Por ejemplo, un dispositivo de protección contra sobretemperatura que utiliza un sensor térmico en los bobinados de un motor eléctrico para desactivar el motor antes de que pueda calentarse en exceso, es un caso de Seguridad Funcional. Pero proporcionar aislamiento especial para resistir altas temperaturas no es un ejemplo de seguridad funcional (aunque es un ejemplo de seguridad y podría proteger precisamente contra el mismo peligro)”.

La Seguridad Funcional es un término introducido en la norma IEC 61508:1998. Desde entonces el término se ha asociado algunas veces con los sistemas de seguridad programables (PLC de Seguridad). Esta es una visión errónea -por incompleta- de la Seguridad Funcional. Además del PLC de Seguridad, sensores y actuadores finales forman un sistema de seguridad.

Se necesita dos tipos de requisitos para lograr la Seguridad Funcional:

Función de seguridad La integridad de la seguridad

La evaluación de riesgos desempeña un papel clave en el desarrollo de los requisitos de la Seguridad Funcional. La tarea y el análisis de riesgos indican los requisitos de la función de

mailto:[email protected]



2

seguridad (es decir la función de seguridad). La cuantificación de riesgos proporciona los requisitos de integridad de la seguridad (es decir, la integridad de la seguridad o nivel de rendimiento).

ESTÁNDARES DE SEGURIDAD FUNCIONAL Dentro de la Industria de Procesos los estándares de Seguridad Funcional usualmente aceptados internacionalmente son:

IEC 61508, “Functional Safety: Safety Related Systems”

IEC 61511, “Functional Safety Instrumented Systems for the Process Industry”

ANSI/ISA 84.00.01-2004, “Application of Safety Instrumented Systems for Process

Industries”

La aparición de estos estándares ha sido el resultado de la evolución natural de la necesidad de reducir los riesgos del proceso mejorando la seguridad mediante una metodología más formalizada y cuantificable.

En el caso del IEC 61508, a medida que las múltiples ventajas de los equipos electrónicos programables (típicamente PLCs) sobre otras tecnologías hacían que su uso proliferara en aplicaciones de seguridad, se hizo necesario desarrollar un estándar que guiara a los diseñadores y a los desarrolladores de estos productos acerca de los requisitos que debían cumplir para asegurarse y para poder afirmar que sus sistemas/productos eran aceptablemente seguros para su uso en aplicaciones relacionadas con la seguridad.

El IEC 61508 es un estándar “paraguas” que sirve como base para que distintas industrias elaboren sus estándares de Seguridad Funcional:

IEC 61511 para la Industria de Procesos y de Producción de Energía (no nuclear) IEC 61513 Industria Nuclear IEC 62061 Industria de Maquinaria

El ANSI/ISA 84.00.01-2004 presenta muchas similitudes con el IEC 61508 e IEC 61511, aunque existen ciertas diferencias.

En Europa, suelen seguirse los estándares IEC, mientras que el ANSI/ISA se emplea en los Estados Unidos.

Una característica común a estos estándares de Seguridad Funcional es que no son prescriptivos, si no que se basan en la verificación de ciertas prestaciones. Dicho de otra forma: definen una serie de requisitos que los equipos/sistemas deben cumplir pero no dicen cómo conseguirlos, dejando plena libertad a los diseñadores de los mismos para que opten por las soluciones/tecnologías que consideren más convenientes para lograrlos.

ALGUNAS DEFINICIONES

SIS (Safety Instrumented System) Sistema Instrumentado de Seguridad. Sistema diseñado para prevenir o mitigar situaciones de riesgo, llevando el proceso a un estado seguro cuando se dan ciertas condiciones predeterminadas (condiciones de disparo).

Un SIS puede contener una o varias SIF.


3

SIF (Safety Instrumented Function) Función Instrumentada de Seguridad. Una SIF está diseñada para prevenir o mitigar situaciones de riesgo, llevando al proceso a un nivel de riesgo tolerable.

Una SIF se compone de un logic solver (elemento encargado de ejecutar la lógica configurada, generalmente un “PLC de Seguridad”), sensor/es y elemento/s final/es de actuación.

Una SIF debe realizar de forma automática una acción en respuesta a una determinada situación. Ejemplo: en caso de detectar una alta presión, abre una válvula de alivio.

Cada SIF tiene asignado un determinado nivel SIL en función de la cantidad de riesgo que se reduce mediante su uso.

SIL (Safety Integrity Level) Nivel de Integridad de la Seguridad. La integridad de una SIF es una medida de su disponibilidad, o visto de otra forma de su probabilidad de fallo bajo demanda (PFD). La PFD es la probabilidad de que en el caso de que por alguna circunstancia la SIF deba actuar esta no funcione correctamente. A mayor SIL, menor PFD (mayor disponibilidad de la SIF).

Otra forma de entender el nivel SIL de una SIF es como medida del factor de reducción del riesgo (FRR) que se consigue al emplear una SIF. Una SIF con un SIL mayor, consigue un mayor FRR.

La siguiente tabla refleja los niveles SIL y su relación con parámetros como disponibilidad, PFD y FRR (SIL 4 no se aplica en la industria de procesos. El estándar IEC 61511 lo recoge, pero no así el ISA 84):

Nivel SIL Disponibilidad

de la SIF PFD

1-Disponibilidad FRR

1/PFD

4 Evita consecuencias catastróficas para la

comunidad

>99,99% <0,0001

(1E-4) >10000

3 Protección de los empleados y la

comunidad

99,9% - 99,99% 0,001 - 0,0001

(entre 1E-3 y 1E-4) 1000 – 10000

2 Protección de la

producción y de las instalaciones, evita un

posible daño a los empleados

99% - 99,9% 0,01 - 0,001

(entre 1E-2 y 1E-3) 100 – 1000

1 Protección de la

producción, pequeño impacto en

las instalaciones

90% - 99% 0,1 - 0,01

(entre 1E-1 y 1E-2) 10 – 100

0 Sistema de control de procesos (BPCS) Tabla 1. Niveles SIL y su relación con los parámetros de disponibilidad, PFD y FRR


4

DUDAS MÁS COMUNES SOBRE SIS

¿CUÁLES SON LAS APLICACIONES DE UN SIS? Las siguientes son aplicaciones típicas de los SIS:

ESD (Emergency Shut Down) BMS (Burner Management System) F&G (Fire and Gas) TMC (Turbo Machinery Control System) HIPPS (High Integrity Pressure Protection System) WHCP (Well Head Control Panel)

¿CUÁL ES LA DIFERENCIA ENTRE UN BPCS Y UN SIS? La principal diferencia es su misión en el proceso. Mientras que el BPCS se encarga de mantener ciertas variables bajo control, dentro de un determinado margen de valores, la misión del SIS es llevar el proceso a un estado seguro precisamente cuando la variable que se quería mantener bajo control se sale de sus márgenes normales y alcanza un valor que podría ser peligroso.

El BPCS es un “sistema activo” que opera de forma continua y está pensado para que tenga cierta intervención humana. Por el contrario un SIS es un “sistema durmiente”, está pensado para que actúe de forma esporádica y sin casi ninguna intervención humana.

¿APLICAN LOS ESTÁNDARES SIS AL BPCS? Depende. Distintas normas, estándares y guías de buenas prácticas de ingeniería –como las de la NFPA para hornos de proceso y los estándares de la industria nuclear- indican claramente que la separación entre las funciones de control (desempeñadas por el BPCS) y las de seguridad (que son responsabilidad del SIS) debe ser completa, en ese caso, los estándares SIS no aplicarían al BPCS. Sin embargo, las versiones más recientes de los estándares de Seguridad Funcional SIS (ejemplo: ISA 84.00.01-2004, IEC 61511 Mod) permiten el uso de elementos que simultáneamente realizan funciones de seguridad y de control, siempre que se cumplan ciertos requisitos definidos por los estándares, por lo que sí que habrá que ver cómo afectarían al BPCS. El objetivo de los estándares de Seguridad Funcional no es hacer cumplir la completa separación entre BPCS y SIS sino más bien:

1. Prevenir que un único punto de fallo en ambos sistemas (error de causa común) origine una solicitud de activación del SIS que al mismo tiempo se vea impedida por ese mismo fallo (ejemplo: el mismo transmisor utilizado en el lazo de control del BPCS es el que se utiliza para provocar la actuación del SIS, en caso de mal funcionamiento del mismo, es posible que ni se pueda ejecutar la función de control ni la de seguridad).

2. Asegurar que la frecuencia de ese único punto de fallo es lo suficientemente baja como para no incumplir los objetivos de máximo riesgo tolerable (ejemplo: ejecución de funciones de control y de seguridad en la misma CPU, si esta es lo suficientemente fiable, podrían verificarse los objetivos de máximo riesgo tolerable).

Decidir con fundamento que compartir equipos entre el BPCS y el SIS es aceptable requiere un análisis detallado y documentado de todos los modos de fallo posibles para los equipos compartidos, la comprobación de cómo afecta cada uno de esos fallos al proceso controlado y el cálculo de la probabilidad de que se produzcan. Es un proceso complejo que puede resultar muy caro, ya que se trata de un esfuerzo multidisciplinar, que involucra a muchas personas y que requiere de grandes conocimientos no sólo de la propia instrumentación, sino también del


5

proceso cuyos riesgos se quieren mitigar. Además es muy posible que no pueda llevarse a cabo con personal propio y sea necesario contar con ayuda externa.

¿QUÉ ES UN ANÁLISIS DE RIESGOS? ¿QUIÉN LO LLEVA A CABO? Se trata de un estudio que identifica problemas de seguridad y riesgos en un proceso, desarrolla acciones correctivas sobre problemas de seguridad y planifica acciones alternativas de emergencia en previsión de que el sistema de seguridad falle. Debe realizarlo un equipo multidisciplinar con un cierto nivel de conocimiento del proceso objeto del análisis. Hay muchas consultorías y empresas de ingeniería que también hacen estos análisis.

La metodología del análisis de riesgos puede incluir Análisis What-If, Hazard and Operability Study (HAZOP), Failure Mode and Effects Analysis (FMEA), y Análisis del Árbol de Fallo.

¿QUÉ ES EL RIESGO SEGÚN LOS ESTÁNDARES DE SEGURIDAD FUNCIONAL? ¿CÓMO CUANTIFICARLO? Según los estándares, el riesgo se define como una medida de la probabilidad de que se materialicen los daños personales, mediaombientales o económicos en términos de frecuencia y magnitud de los daños. El riesgo además, debe cuantificarse, ya que esa es la base para definir/evaluar cada capa de protección aplicada para eliminar o reducir el riesgo.

RIESGO = FRECUENCIA x SEVERIDAD

Nº muertes/año Año-1 Nº muertes € perdidos/mes Mes-1 Pérdidas económicas (en €) Kg de sustancia fugada/h

Hora-1 Kg de sustancia fugada

¿QUÉ ES UNA CAPA DE PROTECCIÓN (PL)? Una capa de protección es cualquier mecanismo independiente que reduzca el riesgo por control, prevención o atenuación del mismo. Por ejemplo:

Mediante la ingeniería del proceso (ejemplo: reduciendo al mínimo los volúmenes

almacenados de aquellos productos químicos considerados peligrosos pero necesarios

para el proceso).

Un dispositivo de ingeniería mecánica (ejemplo: una válvula de seguridad).

Un procedimiento administrativo (ejemplo: un procedimiento de operación, limitando

el acceso de personal a ciertas áreas).

La idea de capa de protección se basa en dos conceptos fundamentales:

1. Una capa de protección es una agrupación de equipos y/o controles administrativos

que funcionan en forma concertada con otras capas de protección para controlar o

atenuar el riesgo del proceso.

2. Una capa de protección debe reducir el riesgo identificado al menos por un factor de

10 (FRR>=10)

Los estándares de Seguridad Funcional hablan de Capas de Protección Independientes (IPL). Para considerar una capa de protección como independiente ésta debe cumplir que:

1. La protección que ofrece reduce el riesgo identificado al menos en un factor de 100.


6

2. La protección que ofrece tiene un alto grado de disponibilidad (90% o más)

3. Tiene las siguientes características fundamentales:

Especifidad: la IPL se diseña exclusivamente para un evento concreto y

potencialmente peligroso

Independencia: para el peligro identificado, la protección que ofrece es

independiente de otra capa de protección

Seguridad de funcionamiento: podemos confiar en ella para que haga aquello

para lo que ha sido diseñada. En el diseño se han considerado tanto fallos

aleatorios como sistemáticos.

Auditable: en su diseño se consideró la necesidad de un ensayo periódico para

validar su función protectora y su mantenimiento.

Sólo aquellas capas de protección que cumplan estas características pueden ser consideradas como capas de protección independientes.

Figura 1. Modelo de Capas de Protección Independientes o “Cebolla de la Seguridad”

¿CUÁNDO NECESITO UNA SIF? Debemos aceptar que el riesgo cero no existe, de manera que habrá que evaluar qué riesgo máximo estamos dispuestos a asumir. Este será nuestro Riesgo Máximo Tolerable.

La filosofía que emana del estándar sugiere que una SIF debería implementarse únicamente cuando no hay otra forma “no instrumentada” de conseguir eliminar o mitigar el riesgo existente hasta alcanzar ese nivel de Riesgo Máximo Tolerable.

Específicamente, el ANSI/ISA-84.00.01-2004 (IEC 61511 Mod) recomienda un enfoque multidisciplinar que siga el Ciclo de Vida de la Seguridad, realice un análisis de los riesgos del proceso, diseñe varias capas de protección (por ejemplo basándose en un análisis LOPA), cada una de ellas con un determinado FRR y si a pesar de ellas no se consigue reducir el riesgo hasta nuestro Riesgo Máximo Tolerable, implementar un SIS que permita reducir el riesgo hasta este punto.

Este concepto queda recogido en la siguiente figura:


7

Figura 2. Disminución del riesgo existente mediante el empleo de distintas capas de protección

¿QUÉ SON LOS FALLOS DE CAUSA COMÚN? Los fallos de causa común suceden cuando un único fallo acarrea el fallo de múltiples elementos. Un ejemplo podría ser un error en el banco utilizado para calibrar dos transmisores redundantes. Los fallos de causa común pueden acabar con la independencia de una o varias IPL. De hecho han sido siempre la justificación para independizar las funciones de control en el BPCS y las de seguridad en un SIS, así como para utilizar instrumentación distinta para cada sistema.

¿QUÉ ES UN ANÁLISIS LOPA? ¿CUÁNDO DEBERÍA REALIZARLO? LOPA son las siglas en inglés de Layer Of Protection Analysis. Un análisis LOPA es la metodología más popular para definir las distintas IPL y establecer qué FRR debe cumplir cada una de ellas. Utiliza métodos tanto cualitativos (matriz de riesgos) como cuantitativos (definición de riesgo tolerable).

Un equipo identifica y discute posibles eventos potencialmente peligrosos y evalúa las consecuencias de estos eventos en términos de daños a las personas, al medioambiente y económicos y determina qué circunstancias podrían dar origen a estos eventos. Se fija la frecuencia de cada uno de estos eventos, mediante una estimación basada en métodos cualitativos o cuantitativos. El riesgo se mide en función de su frecuencia y su consecuencia (Riesgo=Frecuencia x Severidad de las Consecuencias) y se compara con el nivel de riesgo tolerable.

Si el riesgo evaluado es mayor que el tolerable, el equipo estudia cada posible causa que puede originar el riesgo, comprobando qué IPLs existen para evitar que la propagación del riesgo termine provocando una consecuencia indeseada. Cada IPL tiene asignado un determinado FRR basado en el diseño de la propia IPL.

El análisis LOPA puede utilizarse en cualquier fase del proyecto, pero resultará más eficiente y económico si se realiza en sus primeras etapas, una vez se disponga de los primeros P&ID. Suele aplicarse normalmente una vez que se ha hecho un análisis preliminar de riesgos con un impacto significativo en las personas el medioambiente o los equipos. Cuanto más se retrase más difícil y caro resultará implementar los cambios en el proceso.


8

¿CÓMO SE DETERMINA EL SIL DE UNA SIF? El ISA-TR84.00.02-2002, “Safety Instrumented Functions (SIF) –Safety Integrity Level (SIL) Evaluation Techniques” recoge distintos métodos posibles:

Usando Ecuaciones Simplificadas

Mediante Análisis de Árbol de Fallo

Empleando un Análisis de Markov

Además cubre el método para calcular la PFD del logic solver empleado en el SIS mediante un Análisis de Markov.

¿DE QUÉ DEPENDE EL SIL DE UNA SIF? El SIL de una SIF se ve afectado por los siguientes factores:

Integridad de los dispositivo (ejemplo: tasa de fallos y modo de fallo) Redundancia y votación (ejemplo: uso de dos sensores en una aplicación en la que la

condición de disparo detectada por cualquiera de ellos provoca la actuación de la SIF) Periodicidad de su ensayo (ejemplo: cada cierto tiempo la SIF se ensaya para verificar

si verdaderamente cumple su función de seguridad) Cobertura del diagnóstico (ejemplo: con la SIF en servicio se realizan de forma

automática una serie de ensayos que pueden detectar un determinado porcentaje de modos de fallo del dispositivo)

Otras causas comunes (debidas al propio dispositivo, al diseño, errores sistemáticos y errores humanos).

El nivel SIL aplica a una SIF completa, no hay elementos individuales con SIL X, lo correcto sería decir que ese elemento individual es válido para poder ser usad en aplicaciones con un determinado nivel SIL. La SIF completa (sensores+logic solver+actuadores) debe tener una PFD compatible con el SIL que se pretende que tenga:

PFDSIF= PFDsensores + PFDlogic solver + PFDactuadores

Siendo PFDSIF <= a la PFD mínima correspondiente al nivel SIL deseado para la SIF.

¿SON IGUALES TODOS LOS EQUIPOS VÁLIDOS PARA APLICACIONES DE UN DETERMINADO SIL? NO. Para poder decir que un equipo es válido para aplicaciones de un determinado nivel SIL, el dispositivo debe verificar una determinada PFD acorde con ese nivel SIL. Todos cumplirán la PFD para el nivel SIL, pero no tienen por qué ser iguales.

La PFD se ve influida por distintos parámetros:

Parámetros de diseño o λ, tasa de fallo o C, tasa de autodiagnóstico

Parámetros de mantenimiento o T, periodo de prueba o MTTR, tiempo medio para reparación

Actuando convenientemente sobre uno o varios de ellos el fabricante puede cumplir con el objetivo de PFD que le permita verificar que su dispositivo es válido para usarse en aplicaciones de un determinado SIL. Pero por ejemplo, un fabricante podría optar por mejorar


9

la tasa de fallo empleando componentes más robustos, mientras que otro podría decantarse por aumentar las capacidades de autodiagnóstico o dotar al dispositivo de redundancia en sus componentes más críticos.

¿QUÉ CONFIGURACIONES DE VOTACIÓN SE NECESITAN PARA CADA NIVEL SIL? No hay una respuesta estándar a qué configuración de votación se necesita para un determinado SIL. Lograr un determinado nivel SIL depende de múltiples factores: el tipo de tecnología empleada, el número de componentes del sistema, la PFD de cada componente, la arquitectura del sistema (por ejemplo, si hay redundancia o utiliza alguna forma de votación) y la frecuencia de ensayo son factores muy importantes a considerar a la hora de determinar el nivel SIL, y la configuración de voto debe analizarse según todos ellos.

La siguiente figura muestra algunas de las posibles configuraciones para cada SIL.

Figura 3. Influencia de la arquitectura en la consecución de un determinado SIL

Podemos ver como cualquiera de las posibles configuraciones mostradas podría ser SIL 2 y la mayoría podrían ser SIL 3. Simplemente jugando con los factores de PFD (instrumentación más fiable), redundancia (2 transmisores/elementos finales en lugar de 1) y/o votación (configuraciones 2oo2/2oo3 en lugar de 1oo1) podemos pasar de un SIL 1 a un SIL 2 en la primera configuración. Si por ejemplo, aumentamos la frecuencia con la que se revisan los elementos, también podríamos conseguir un mayor nivel SIL, lo mismo ocurriría si la instrumentación utilizada dispusiera de la opción de funciones de autodiagnóstico.

Conseguir un SIL 3 a partir de elementos con una PFD compatible con SIL 1 puede dar lugar a arquitecturas excesivamente complejas, que dificultarían su posterior mantenimiento y verificación.

¿REQUIERE UN MAYOR MANTENIMIENTO UN SISTEMA CALIFICADO COMO DE NIVEL SIL? La opción de usar un sistema SIL para reducir el nivel de riesgo puede que no sea la solución más efectiva en términos económicos. A menudo resulta que implementar una solución SIL precisa de más equipos (por necesidades de redundancia y/o votación), lo que inevitablemente hace que aumente el mantenimiento. Además, es probable que cuanto mayor sea el SIL, mayor sea también su frecuencia de ensayo lo cual incrementa el


10

mantenimiento que requiere el sistema. Esta es la principal razón por la que los estándares recomiendan que la opción SIL sea la última solución a emplear, una vez que se ha comprobado que el riesgo existente en el proceso no puede ser reducido mediante ningún otro método, como los determinados con el LOPA.

¿QUÉ ES LA FRECUENCIA DE ENSAYO? Verificar el correcto funcionamiento de las SIFs es necesario para asegurar que la planta cuenta efectivamente con esa protección. Los ensayos deben incluir comprobaciones de las SIFs al completo: logic solver, sensores y elementos finales. La frecuencia de ensayo determina la periodicidad con la que se comprueba el funcionamiento de la SIF.

La frecuencia de ensayo depende de cada SIF, de la tecnología empleada en su implementación, de la arquitectura del sistema y el nivel SIL que se pretende conseguir con el sistema. La frecuencia de ensayo es un factor muy importante a la hora de calcular la probabilidad de fallo bajo demanda (PFD) del sistema.

¿CÓMO AFECTAN LOS ESTÁNDARES SIS A LAS OPERACIONES? Una SIF es una ayuda para la operación que hace que la planta opere de forma más segura. Los estándares SIS requieren que los procedimientos de operación informen convenientemente al operador de los riesgos específicos del proceso y las posibles consecuencias en caso de que las desviaciones en el proceso no puedan mantenerse bajo control. Los procedimientos deberían recoger la siguiente información sobre las SIFs:

¿Cómo actúa la SIF instalada para proteger el proceso en caso de que se produzca alguna desviación con respecto al funcionamiento normal?

¿Qué hacer en caso de que la SIF falle y no detenga el proceso en caso de algún incidente?

¿Qué hacer cuando se detecta un fallo en la instrumentación de la SIF? ¿Quién, por qué razones, cómo y por cuánto tiempo puede bypasar una SIF? ¿En qué circunstancias debe procederse a una parada manual de la planta?

Para que funcione como debe, el SIS debe operarse de la forma en la que se pensó durante su diseño.

¿APLICAN LOS ESTÁNDARES SIS ACTUALES A MI ANTIGUO SISTEMA DE SEGURIDAD? Las nuevas instalaciones deben seguir los estándares más actuales. El tratamiento de los sistemas anteriores a la publicación de los estándares es una de las diferencias entre el IEC 61511 y el ISA S84.01-2004: IEC 61511 “Será el usuario quien deba evaluar la seguridad del proceso y determinar si debe o no adoptar los requisitos del texto”. La adopción del nuevo estándar queda a elección del usuario/operador. IEC 61511 no hace referencia expresa a los Sistemas de Seguridad anteriores a su publicación. ISA S84.01-2004 Este estándar sí que menciona los Sistemas de Seguridad anteriores a su publicación. La conocida como “Cláusula Grandfather” establece que:

“Para los SIS ya existentes, diseñados y construidos de acuerdo a los códigos, estándares o prácticas anteriores a la publicación de este estándar (ejemplo: ANSI/ISA 84.01-1996), el


11

propietario/operador del mismo debe determinar y documentar que el equipo está diseñado, mantenido, inspeccionado, comprobado y operado de forma segura”.

La Cláusula Grandfather permitiría que las compañías siguiesen operando con sistemas de seguridad diseñados e instalados con anterioridad a la publicación del estándar, pero para poder acogerse a esta cláusula deben cumplirse ciertas condiciones, no se trata de una “carta en blanco” que permita seguir operando con SIS obsoletos de forma indefinida.

El ISA TR84.00.04-2005 ofrece una lista de razones que pueden obligar a la actualización de un SIS al estándar ANSI/ISA84.00.01-2004, como por ejemplo:

Modificaciones de la unidad de proceso que influyan en los riesgos gestionados por el SIS.

Modificaciones del BPCS que afectan a las capas de protección utilizadas para conseguir la operación segura.

Cuando como consecuencia de la investigación de un accidente o incidente se detecte una deficiencia del SIS.

Cuando al revisar otra unidad diseñada según las mismas prácticas se haya encontrado alguna deficiencia en el SIS.

El proceso para decidir justificadamente el seguir operando con el sistema de seguridad antiguo es complejo, largo y puede resultar muy caro.

Además, en cualquier momento una entidad regulatoria, las compañías aseguradoras o los departamentos legales de la propia compañía podrían obligar a que el sistema de seguridad ya existente deba adaptarse a los nuevos estándares. Habría que valorar también la posibilidad de que en caso de incidente, el no seguir los estándares más actuales podría considerarse como una negligencia.

¿CUÁL ES EL PROCESO A SEGUIR PARA ADAPTAR MI ANTIGUO SISTEMA DE SEGURIDAD A LOS ESTÁNDARES SIS?

El modo más adecuado sería seguir el Ciclo de Vida de la Seguridad definido por los estándares de Seguridad Funcional.

Es intención del autor el publicar próximamente un paper dedicado a esta problemática en particular.

¿QUÉ ES EL CICLO DE VIDA DE LA SEGURIDAD? Tanto el estándar IEC 61511 como el ANSI/ISA84.00.01-2004 recogen un proceso de gestión del Ciclo de Vida de la Seguridad que las compañías deben seguir cuando instalan un nuevo SIS. El Ciclo de Vida de la Seguridad abarca desde la fase de diseño del SIS hasta su desmantelamiento.

En el ciclo se distinguen varios pasos que pueden dividirse en 4 grandes fases:

Análisis

Realización

Mantenimiento

Otras tareas que se realizarán durante todo el Ciclo de Vida (gestión, auditoría,

verificación, etc)

Cada una estas grandes fases se descompone en una serie de etapas:


12

Figura 4. El Ciclo de Vida de la Seguridad según IEC 61511

Las etapas iniciales del Ciclo de Vida de la Seguridad son fundamentales. Una investigación realizada por la HSE Authority del Reino Unido sobre 34 incidentes atribuidos a fallos de los SIS destacó que la mayoría de las causas de fallo se originaron en las fases iniciales del Ciclo de Vida de la Seguridad: casi el 60% de los incidentes relacionados con el SIS se debieron a causas originadas antes incluso de que el SIS estuviese instalado en las fábricas.


13

¿DEBO USAR UN PLC COMO LOGIC SOLVER DE MI SIS? NO, nada obliga a que se utilice un PLC como logic solver, si bien las ventajas que ofrecen frente a otras tecnologías que de venían utilizando (relés, electrónica, etc) han hecho que prácticamente sean la solución estándar en aplicaciones industriales.

¿PUEDO UTILIZAR UN PLC DE PROPÓSITO GENERAL EN UN SIS? NO, si para el SIS se ha decidido usar un logic solver del tipo PLC, debe utilizarse un “PLC de Seguridad”.

¿QUÉ DIFERENCIA HAY ENTRE UN PLC DE PRÓPOSITO GENERAL Y UN PLC DE SEGURIDAD?

El PLC de Seguridad se diseña específicamente para cumplir dos objetivos:

1. Que sea muy fiable, pero como el fallo es inevitable

2. Que cuando falle, sólo pueda hacerlo en un modo predecible y seguro

El estándar IEC 61508 (partes 2 y 3) recoge los requisitos que debe cumplir el hardware y el software de un PLC de Seguridad. Estos requisitos hacen que en el diseño de un PLC de Seguridad deban tenerse en cuenta múltiples consideraciones:

Especial énfasis en las capacidades de autodiagnóstico, usando para ello una combinación de hardware y software.

Dispone de una verdadera redundancia que le permita seguir operando de forma segura incluso cuando falle alguno de sus componentes.

El software de programación también utilizará ciertas técnicas para asegurar su fiabilidad.

Posee medios para evitar cualquier lectura o escritura no deseada a través de sus puertos de comunicaciones.

Al adquirir un PLC de Seguridad, estamos adquiriendo un equipo cuyo cumplimiento de los requisitos hardware/software que recoge el IEC 61508 (partes 2 y 3) está certificado por una entidad independiente.

¿RESULTA MÁS CARO PARA MI PLANTA UTILIZAR UN PLC DE SEGURIDAD? Si bien el coste inicial del PLC de Seguridad es superior al de un PLC de propósito general, y que puede suponer un mayor coste de mantenimiento, distintos estudios demuestran que a lo largo de su Ciclo de Vida puede resultar más económico el implementar un SIS, al reducir la frecuencia de paradas imprevistas de la planta y por lo tanto aumentar su disponibilidad. Al mismo tiempo, la implantación de un SIS puede permitir reducir el coste de los seguros de la planta.


14

IDEAS EQUIVOCADAS ACERCA DEL SIL

PARA CONVERTIR MI ACTUAL SISTEMA DE SEGURIDAD EN UN SIS CONFORME LOS ESTÁNDARES SIS MÁS RECIENTES, BASTA CON IMPLEMENTAR MIS PROTECCIONES ACTUALES EN UN “PLC DE SEGURIDAD” CON CERTIFICACIÓN SIL NO. Un SIS no es sólo el logic solver (el dispositivo encargado de ejecutar la SIF), la instrumentación de campo (sensores y actuadores) también es parte del SIS. Por lo tanto, instalar un “PLC de Seguridad” para que ejecute las protecciones actuales no equivale a poner en servicio un SIS según los estándares.

Para implementar un SIS según los estándares es necesario seguir el Ciclo de Vida de la Seguridad que definen los estándares de Seguridad Funcional IEC 61508 e IEC 61511 y ANSI/ISA 84.00.01-2004

SI USO UN “PLC DE SEGURIDAD” CON SIL 3, TENGO UN SIS SIL 3 NO. Ya hemos comentado que un SIS no es sólo su logic solver. Para que una SIF verifique un SIL 3, resulta crítico que el sistema entero sea diseñado para cumplir con los requisitos del SIL 3. La PFD del sistema en su conjunto es importante:

PFDSIF= PFDsensores + PFDlogic solver + PFDactuadores

Para una SIF de SIL 3 deberá cumplirse que la PFDSIF del conjunto esté comprendida entre 0,001 y 0,0001. Si un usuario instala un logic solver de SIL 3, pero no incorpora al sistema componentes con una PFD adecuada o no utiliza las redundancias apropiadas, puede encontrarse con que el sistema en su conjunto no sea capaz de verificar los requisitos como para podérsele asignar SIL 3.

La siguiente figura muestra claramente la poca repercusión de los fallos del logic solver al fallo de la SIF. El 90% de los fallos de una SIF se deben a fallos en elementos ajenos al logic solver.

Conviene tener en mente la frase “una cadena es tan fuerte como fuerte es su eslabón más débil”.


15

LOS EQUIPOS CERTIFICADOS COMO UTILIZABLES EN APLICACIONES QUE REQUIERAN SIL 3 SON MEJORES QUE LOS UTILIZABLES EN APLICACIONES DE SIL 1 Ó SIL 2 NO NECESARIAMENTE CIERTO. Aunque un SIL mayor se corresponde con una menor PFD, un producto compatible con SIL 2 puede usarse en aplicaciones que requieran SIL 3 si, por ejemplo, se aumenta la frecuencia de ensayo del mismo o si se utiliza algún tipo de redundancia. Para el usuario final resulta muy importante comprender los requisitos de operación de los dispositivos que funcionan dentro de una aplicación SIL determinada para que una vez instalados, pueda asegurar que siguen siendo utilizables con el SIL deseado. Una instalación incorrecta, procedimientos de ensayo inadecuados (ensayos periódicos demasiado espaciados o bien métodos incorrectos que por ejemplo no permitan detectar todos los fallos posibles), o una configuración incorrecta de los elementos, pueden hacer que el producto no cumpla con los requisitos para poder ser utilizado en una aplicación de un determinado nivel SIL.

HAY MUCHAS AGENCIAS CAPACES DE EXPEDIR CERTIFICACIONES SIL NO. Hay muy pocas entidades nacionales acreditadas que puedan expedir este tipo de certificaciones, entre ellas FM, TÜV y Sira. Algunas empresas de consultoría que no están acreditadas expiden certificados que indican que han revisado el producto y/o proceso para verificar su conformidad con ciertos aspectos del estándar IEC 61508. El estándar no establece qué compañías o agencias están capacitadas para certificar productos y sistemas, más bien sugiere que los análisis sean dirigidos o validados por una tercera parte independiente.

EL VENDEDOR DEL SISTEMA PUEDE DETERMINAR SI SU PRODUCTO CUMPLE CON LOS REQUISITOS DE LA IEC 61511 NO. Sólo el usuario final puede asegurar que el sistema de seguridad está implementado de forma que cumpla con los estándares.

El usuario final es el responsable de asegurarse de que los procedimientos se han seguido correctamente, que el procedimiento de pruebas ha sido el adecuado y de que toda la documentación necesaria sobre el sistema (diseño, proceso y procedimientos) existe. El equipo o sistema debe utilizarse además de la manera para la que fue diseñado para que así cumpla con el requisito de conseguir el nivel de reducción de riesgo deseado.

COMPRAR UNA SOLUCIÓN COMPLETA BASADA EN SIL ES MEJOR, INCLUSO SI ALGUNA FUNCIÓN NO NECESITA DE NIVEL SIL NO. Para la mayoría de las aplicaciones, puede que existan sólo unas pocas SIF manejadas por el sistema, y la gran mayoría de los circuitos puede que no necesiten tener calificación SIL. Si el cliente especifica que el sistema debe ser SIL 2 ó SIL 3 para el sistema completo, supondría un coste adicional considerable con poca o ninguna mejora en seguridad, complicando además su mantenimiento. La filosofía SIL consiste en implementar una solución SIF/SIS siempre y cuando el riesgo existente no haya podido ser mitigado hasta un nivel aceptable mediante otras soluciones no instrumentadas.


16

SEGURIDAD Y FIABILIDAD SON LO MISMO NO. Seguridad y fiabilidad a menudo están relacionadas, pero no son lo mismo. El estándar IEC 61500 define Seguridad como “la ausencia de riesgos inaceptables”. Un sistema de seguridad debería proteger de los riesgos sea o no fiable. La ingeniería de seguridad permite asegurar que un sistema de seguridad funciona como debe, incluso cuando los elementos fallan. En realidad, los ingenieros de seguridad asumen que el sistema fallará, y diseñan el sistema pensando en esa circunstancia. La fiabilidad es una medida de cómo de bien hace el sistema las funciones para las que fue diseñado si se opera de una forma específica. Un sistema fiable puede que no sea seguro (puede que no se averíe, pero que cuando actúe no haga lo que debe, por ejemplo, por un mal diseño). El desafío en la seguridad funcional es conseguir simultáneamente que un sistema sea fiable y seguro.


17

REFERENCIAS

“Sistemas Instrumentados de Seguridad y Análisis SIL. Seguridad Funcional en Instalaciones de Proceso”. I.Fernández, A. Camacho, C. Gasco, A.M. Macías, M.A. Martín, G. Reyes, J. Rivas ISA – Sección Española “Frequently Asked Questions about Safety Integrity Levels” http://www.gmigasandflame.com/sil_faqs.html General Monitors “Common SIL Myths” http://www.gmigasandflame.com/sil_myths.html General Monitors “Conventional PLC vs. Safety PLC, Controllers for Safety Instrumented Systems” Dr. William M. Goble EXIDA “What Every Manager Should Know About The New SIS Standards” Angela E. Summers, Ph.D., P.E. SIS-Tech Solutions, LLC “SIS Pitfalls, Major Incidents and Lessons Learned” Angel Casal, Chem. Eng, CFSE Lloyd’s Register

http://www.gmigasandflame.com/sil_faqs.html

http://www.gmigasandflame.com/sil_myths.html


18

SOBRE EL AUTOR Víctor D. Parra Mateo es Ingeniero Técnico Industrial en la especialidad de Electrónica Industrial por la Escuela Politécnica Superior de Algeciras (Universidad de Cádiz).

Desde 2004 trabaja en el mundo de la Instrumentación, Control y Automatización de Procesos, participando en distintas fases de proyectos industriales en los sectores de Oil&Gas, Refino y Petroquímica (pruebas FAT, SAT, puesta en marcha de nuevas instalaciones y modernización de sistemas de control), su posterior mantenimiento y la formación del personal que debe operarlo y/o mantenerlo. Por su experiencia profesional ha participado en proyectos como proveedor (Ingeniero de Aplicaciones con YOKOGAWA IBERIA desde 2004-2008) y como usuario final (Ingeniero de Sistemas de Control de Procesos con la COMPAÑÍA ESPAÑOLA DE PETRÓLEOS S.A. desde 2008).

Siempre interesado en seguir creciendo profesionalmente en las especialidades de la Instrumentación y Control, gusta de fomentar la divulgación del conocimiento en estas áreas, participando activamente en distintos foros técnicos internacionales relacionados con su experiencia profesional.

Profesor del Módulo de Instrumentación y Control de la VI Edición del Curso de Experto en Refino (curso académico 2013-2014) organizado por la Universidad de Cádiz y la Cátedra CEPSA.

Actualmente (2014) colabora con la Sección Española de ISA en la redacción de su “Libro Blanco de Centros de Control”.

También ha publicado en internet algunos “papers” relacionados con varios de los temas en los que trabaja habitualmente:

2014. “SISTEMAS FIRE & GAS”

http://es.scribd.com/doc/203852871/Sistemas-Fire-and-Gas

2012. “PST Y FST DE VALVULAS QUE INTERVIENEN EN SIF” http://www.scribd.com/doc/104600563/PST-Y-FST-DE-VALVULAS-QUE-INTERVIENEN-EN-SIF

Perfil en LinkedIn: http://www.linkedin.com/in/victordparra

http://es.scribd.com/doc/203852871/Sistemas-Fire-and-Gas

http://www.scribd.com/doc/104600563/PST-Y-FST-DE-VALVULAS-QUE-INTERVIENEN-EN-SIF

http://www.scribd.com/doc/104600563/PST-Y-FST-DE-VALVULAS-QUE-INTERVIENEN-EN-SIF



Documents

LO MINIMO QUE DEBERÍA SABER SOBRE SIS