Upload
vuongdat
View
222
Download
6
Embed Size (px)
Citation preview
Seguridad funcional en lainstrumentación de procesoscon clasificación SILPreguntas, ejemplos, antecedentes
Foll
eto
• A
bri
l 20
07
© Siemens AG 2007
© Siemens AG 2007
Desde la entrada en vigor de la IEC 61508, el tema "Seguridad funcional" ha pasado a primer plano en los procesos industria-les. A menudo se emplea sólo la expresión SIL. Pero, ¿qué sig-nifica exactamente SIL?
En este folleto pretendemos proporcionar una primera visión general sobre el tema, enfocándolo principalmente en la ins-trumentación para la ingeniería de procesos. Queremos expo-ner lo conceptos básicos y para ello no utilizaremos demasiado el lenguaje de la normativa. Por esta razón es posible que los expertos consideren muchas descripciones faltas de precisión o superficiales.
Este prospecto sólo pretende ser una introducción al tema. Para obtener una información más precisa debe consultarse la correspondiente bibliografía y las normas pertinentes. En con-secuencia, los ejemplos de cálculo que aquí se ofrecen deben entenderse sólo como procedimiento básico o de principio y no pueden emplearse como referencia para cálculos "auténticos".
Este folleto se ha redactado con el mayor cuidado. No obstan-te, pueden haberse infiltrado errores. Declinamos toda res-ponsabilidad derivada en este sentido.
2 Prólogo
© Siemens AG 2007
Contenido
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Seguridad funcional. . . . . . . . . . . . . . . . . . . . . . . . . . 6
¿Para quién es relevante la IEC 61508? . . . . . . . . . . 7
Sistema instrumentado de seguridad (SIS). . . . . . . 8
Safety Integrity Level. . . . . . . . . . . . . . . . . . . . . . . . . 9
Cálculo del índice SIL necesario . . . . . . . . . . . . . . . . 9
Low Demand y High Demand Mode . . . . . . . . . . . 12
Comparación entre SIL y AK . . . . . . . . . . . . . . . . . . 13
¿A quien afecta la clasificación SIL?. . . . . . . . . . . . 14
¿Qué dispositivos pueden emplearse con los diferentes SIL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
¿Si dos dispositivos SIL 2 operan con redundancia, tengo automáticamente SIL 3? . . . . 14
Dimensionado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Tipos de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Ejemplos de cálculo (errores aleatorios) . . . . . . . . 16
Comprobación y certificación. . . . . . . . . . . . . . . . . 18
¿Tiene ventajas tener el SIL más alto posible? . . . 18
¿Por qué es ventajoso para un operador tener una instalación conforme a SIL/SIS?. . . . . . . . . . . . 18
¿Qué grado de seguridad ofrece la comunicación por bus? . . . . . . . . . . . . . . . . . . . . . . 19
Evaluaciones por parte de los fabricantes . . . . . . 20
¿Qué certificados son necesarios? ¿Quién los puede expedir?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Posibilidades de configuración (monocanal/redundante) . . . . . . . . . . . . . . . . . . . . 21
¿Qué se puede evaluar?. . . . . . . . . . . . . . . . . . . . . . 22
Instalaciones nuevas - Instalaciones antiguas (protección de activos existentes) . . . . . . . . . . . . . 22
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Prólogo 3
© Siemens AG 2007
Peligro y riesgo
En la vida diaria estamos continuamente expuestos a diferen-tes peligros. La amplitud de gama de estos peligros abarca has-ta catástrofes graves que pueden tener consecuencias graves para la salud de las personas y para el medio ambiente. No siempre tenemos la posibilidad de eludir un peligro y los ries-gos que conlleva. Así, por ejemplo, una gran parte de la pobla-ción mundial convive con los peligros de terremotos o inunda-ciones. No existen medidas de protección contra los sucesos, pero sí que existen medidas de protección contra las amenaza-doras consecuencias de dichos sucesos (por ejemplo presas y diques o edificios construidos a prueba de sísmos).
Definición de riesgo:
Riesgo = Probabilidad de que se produzca un suceso peligroso x consecuencias (costes) de un suceso peligroso
El riesgo remanente aceptado depende de los factores siguientes:
■ Región/País
■ Sociedad de la correspondiente región/país
■ Leyes
■ Costes
La estimación de este riesgo remanente aceptado debe efec-tuarse individualmente. Lo que para uno es aceptable, para el otro ya es inaceptable.
Reducción del riesgo
Por consiguiente, en la vida diaria se valoran muchos peligros en función de su riesgo y, consecuentemente, se aceptan o no se aceptan. Si alguien planea un viaje largo, eligiendo selecti-vamente los medios de transporte puede influir sobre el riesgo de un accidente. El viajero puede reducir el peligro hasta un riesgo remanente aceptable para él. Pero siempre queda un riesgo remanente.
Medidas de protección
Nos podemos proteger reduciendo la probabilidad de ocurren-cia de un peligro o limitando su efecto.
En nuestro mundo cada vez más dominado por la técnica, te-nemos la posibilidad de detectar peligros con sistemas electró-nicos y reducir riesgos para las personas y para el medio ambiente.
Un ejemplo sencillo:Para reducir el riesgo de daños por incendio, en un edificio se pueden adoptar diferentes medidas de protección.
Así por ejemplo, al proyectar el edificio se pueden prever las correspondientes salidas de emergencia y vías de escape. Los sensores de humo pueden activar una alarma que avisa de un peligro a las personas que se encuentran dentro y fuera del edificio. La instalación de puertas cortafuegos y la utilización de materiales no combustibles impiden la propagación de un incendio.
Los aspersores automáticos extinguen las llamas y los extinto-res también están preparados para luchar contra el incendio. Este ejemplo pone de manifiesto que hay múltiples posibilida-des de reducción del riesgo. Al materializarse, las medidas de protección se adaptan a los correspondientes requisitos, pues los riesgos de un almacén no son los mismos que los de un edi-ficio de viviendas.
Medidas de protección en la industriaEn la industria hay muchas máquinas e instalaciones que po-seen diferentes potenciales de peligro. Para proteger contra daños a las personas y al medio ambiente, pero también a las máquinas e instalaciones, se determinan los riesgos y seguida-mente se reducen adoptando las medidas de protección apropiadas.
Representación de la reducción del riesgo
Riesgo remanente
Detectores de humos
Instalación de sprinklers
Salidas de emergencia
Otras medidas(extintores,materiales no combustibles)
Rie
sgo
sin
tom
ar m
edid
as
de
pro
tecc
ión
Rie
sgo
sin
tom
arm
edid
as d
e p
rote
cció
n
Riesgo remanente aceptable
Riesgo sin tomarmedidas de protección
Rie
sgo
Med
idas
de
pro
tecc
ión
4 Introducción
© Siemens AG 2007
Las medidas a adoptar para reducir un riesgo pueden ser muy simples, pero también pueden ser muy complejas.
Ejemplos:
■ Medidas constructivas (p. ej., levantar muros de hormigón alrededor de plantas de producción)
■ Distribución de los peligros
■ Planes de evacuación
■ Dispositivos de control y de protección en versión de seguridad
■ ... y muchas otras
Como se puede observar en estos ejemplos, las medidas que reducen el riesgo se han de asignar a soluciones en parte to-talmente diferentes. Estas soluciones o planteamientos se identifican también como niveles de protección. Estos diferen-tes niveles de protección se han de configurar jerárquicamen-te y se han de contemplar independientemente entre ellos. Si un nivel de protección falla, interviene automáticamente el ni-vel de protección inmediato superior para limitar o evitar los daños.
En el modelo de niveles de protección siguiente se puede ver qué tipos de medidas de protección existen típicamente y en qué orden secuencial se han de clasificar:
Los niveles de protección son independientes entre sí en cuan-to a su función. Por eso, dispositivos de regulación y control del nivel más bajo, por regla general no se emplean simultá-neamente para aplicaciones de seguridad de un nivel superior.
La reducción global del riesgo resulta de la adopción de las me-didas de los distintos niveles de protección y, en última instan-cia, debe resultar un riesgo remanente aceptable.
Representación de la reducción del riesgo
Las medidas que en última instancia se adoptan dependen fre-cuentemente de la magnitud del riesgo remanente que aún puede aceptarse y del coste (también de tipo financiero) que hay que asumir para ello. Para ello, los dispositivos de control y protección de seguridad en máquinas e instalaciones pueden contribuir en gran medida a la reducción del riesgo.
Plan de emergencia
Medidas mec.pasivas de protección
(p. ej. balsa de acumulación)
Medidas mecánicasactivas de protección
(p. ej. válvula de sobrepresión)
Sistema instrumentadode seguridad (SIS)
Nivel de alarma
Nivel de control y regulación
Riesgo sin tomar medidas de protección
Riesgo tomando medidas de protección
Ries
go
Ries
go re
-m
anen
te
Proc
eso
no
aseg
ura
do
Instalaciones públicas de emergencia
Medidas mecánicaspasivas de protección
Medidas mecánicasactivas de protección
Sistema electrónico para seguridad(parada de emergencia)
Med
idas
de
prot
ecci
ón
Introducción 5
© Siemens AG 2007
Los sistemas de automatización se hacen cargo, cada vez más, de tareas relevantes para la seguridad. Así pues, los procesos de los cuales puede originarse un peligro para las personas y el medio ambiente, son vigilados actualmente por sistemas de seguridad. En caso de avería, éstos intervienen en el proceso y pueden reducir el riesgo de un estado peligroso. La seguridad funcional es el correcto funcionamiento de estos dispositivos.
Hasta ahora había normas nacionales para la planificación, la construcción y la operación de las instalaciones de seguridad. Así por ejemplo, para el mercado alemán, los fabricantes y usuarios de dichas instalaciones pudieron remitirse a las nor-mas de seguridad DIN/VDE 19250, DIN/VDE 19251 y DIN/VDE 801. Con estas normas se describía el dimensiona-miento de los dispositivos relevantes para la seguridad me-diante las clases de seguridad (AK 1-8).
Puesto que muchos países tenían normas distintas para el co-rrecto funcionamiento de dispositivos de seguridad, se emitió por este motivo en el año 1998 una norma básica IEC para se-guridad funcional válida para todo el mundo. A partir de esta norma nació una serie de normas en las que se definieron los requisitos organizativos y técnicos exigidos a las instalaciones de seguridad y a su implantación.
El 01.08.2004 se aprobó una norma unificada para plantas de la industria de procesos. Para la instrumentación de procesos son relevantes las dos normas siguientes:
■ IEC 61508 (norma básica)Es válida en todo el mundo como base para especificacio-nes, diseño y operación de sistemas de seguridad (Sistemas instrumentados de seguridad, SIS).
■ IEC 61511 (norma específica de cada aplicación para la in-dustria de procesos)Implementación de la IEC 61508 para la industria de procesos
Normas que se emplean para la seguridad funcional
IEC 61511 IEC 61513IEC 62061
IEC 61508Norma básica (válida para todas las industrias)
Industria de procesos Industria nuclearSeguridad enmáquinas
Otras normas
6 Seguridad funcional
© Siemens AG 2007
¿Para quién es relevante la IEC 61508?
Mediante un análisis de peligros y de riesgos se pueden deter-minar todos los peligros que se originan en una instalación y sus sistemas de control asociados. De este modo se analiza si es necesaria la seguridad funcional para garantizar una protec-ción razonable contra los posibles peligros. Si este fuera el ca-so, deben incorporarse al desarrollo de esta instalación los conceptos asociados de una manera razonable.
La seguridad funcional es sólo una de las posibilidades que existen para manejar estos riesgos. Hay también otros proce-dimientos de importancia básica, como por ejemplo la seguri-dad inherente realizada durante el desarrollo La IEC 61508 de-fine unos métodos adecuados para alcanzar la seguridad fun-cional para los sistemas afectados.
¿Qué sistemas se ven afectados por la IEC 61508?
La IEC 61508 se ha de emplear en sistemas relacionados con la seguridad si éstos contienen uno o más de los dispositivos siguientes:
■ Dispositivos eléctricos (E)
■ Dispositivos electrónicos (E)
■ Dispositivos electrónicos programables (PE)
La norma contempla los posibles riesgos que se originan como consecuencia del fallo de funciones de seguridad. No están cu-biertos los peligros originados por los propios dispositivos E/E/PE, como por ejemplo el choque eléctrico (electrocución). La norma es utilizable en general en sistemas E/E/PE relaciona-dos con la seguridad, independientemente de la correspon-diente aplicación.
Seguridad funcional 7
© Siemens AG 2007
Sistema instrumentado de seguridad (SIS)
Un sistema instrumentado de seguridad (SIS) se utiliza para proteger un proceso peligroso y para reducir el riesgo de un accidente.
Los instrumentos de proceso forman parte de un sistema ins-trumentado de seguridad. Éste consta de los componentes esenciales de una unidad de proceso completa de seguridad:
■ Sensor
■ Unidad de procesamiento de seguridad
■ Actuador
Componentes de un SIS
Todas las unidades combinadas dan como resultado un SIS. Para poder valorar un SIS en cuanto a su seguridad funcional, debe considerarse la cadena de procesamiento (desde el sen-sor hasta el actuador) en su conjunto.
Representación de un SIS
Dentro de un SIS pueden emplearse varios sensores, actuado-res o componentes de control.
En ciertas condiciones, dentro de una instalación pueden estar unidos entre sí componentes de seguridad con componentes que no son de seguridad. Para el SIS se tienen en cuenta sola-mente los componentes relevantes para la seguridad.
Señales procesadas en una instalación
Controlador(p.ej. PLC de seguridad)
Sensores Actuadores
+ +
ControladorSensores Actuadores
¡Los componentes de comunicacionesdeben considerarse también!
+ +
Señales no importantes
para seguridad
Señales importantes para la seguridad(p.ej. elem. de corte de emergencia)
ControladorSensores(p.ej. transmisor de presión)
Actuadores(p.ej. válvula conposicionador)
Sensores(p.ej. interruptor de nivel)
8 Seguridad funcional
© Siemens AG 2007
Cálculo del índice SIL necesario
Las instalaciones o las unidades de las mismas son el origen de diferentes riesgos. Por consiguiente, cuanto mayores son los riesgos, mayores son también los requisitos impuestos a la se-guridad frente a fallos del sistema instrumentado de seguridad (SIS). Las normas IEC 61508 y IEC 61511 definen cuatro nive-les de seguridad diferentes, que describen las medidas para la reducción del riesgo de estos componentes. Estos cuatro nive-les de seguridad son el denominado Safety Integrity Level, SIL.
Cuanto más alta es la cifra del Safety Integrity Level (SIL), tanto mayor es la reducción del riesgo. El índice SIL representa, por consiguiente, la probabilidad de que el sistema de seguridad cumpla correctamente las funciones de seguridad requeridas durante un determinado intervalo de tiempo.
Para calcular el SIL necesario de una instalación o de una parte de la instalación, hay diferentes metodologías. En las normas IEC 61508 y IEC 61511 (Aplicación de la IEC 61508 para la in-dustria de procesos) se indican diferentes métodos para defi-nir el índice SIL. Puesto que la temática es muy compleja, aquí se ofrece sólo al nivel necesario para la comprensión básica.
Una metodología cuantitativa
El riesgo de un proceso peligroso viene determinado por la probabilidad con la que puede producirse un suceso peligroso sin que haya medidas de seguridad, multiplicado por el efecto del suceso peligroso. Debe determinarse cuan alta es la proba-bilidad que puede conducir a un estado peligroso. Esta proba-bilidad puede estimarse empleando métodos de valoración de riesgo cuantitativos y fijarse con un valor límite numérico.
La probabilidad se puede determinar mediante:
■ Análisis de las tasas de fallo en situaciones comparables
■ Datos contenidos en bases de datos relevantes
■ Cálculo empleando métodos de predicción adecuados
Los métodos de cálculo precisos no pueden seguir tratándose aquí y, si se precisa, se describen con mayor detalle en la IEC 61508 en parte 5.
Una metodología cualitativa
La metodología cualitativa es un modelo simplificado que ilus-tra perfectamente el SIL requerido para cada riesgo.
Determinación del índice SIL según la"métodología cualitativa"
Grado de los daños
Ca lesiones leves de una persona, pequeños daños medioambientales
Cb lesiones graves o muerte de una persona
Cc Muerte de varias personas
Cd Muerte de muchas personas
Duración de la estancia de una persona en la zona peligrosa
Aa ocasional a frecuente
Ab frecuente a permanente
Eliminación del peligro
Ga posible en determinadas condiciones
Gb apenas posible
Probabilidad de ocurrencia
W1 muy reducida
W2 reducida
W3 relativamente alta
W3
W2 W
1
a
1
2
3
4
b
a
1
2
3
4
–
a
1
2
3
–
–
Ca
Cb
Cc
Cd
Ab
Aa
Ab
Aa
Ab
AaGa
Gb
Ga
Gb
Ga
Gb
Ga
Gb
a: sin requisitos especiales de seguridadb: no basta un único SIS1, 2, 3, 4: Safety Integrity Level (SIL)
Punto departidapara laestimaciónde riesgos
Safety Integrity Level 9
© Siemens AG 2007
Un pequeño ejemplo...
... de cómo asignar un índice SIL.
En una industria química debe montarse una nueva planta de producción.
El procedimiento empleado para la fabricación del producto químico determina el diseño de la planta. Puesto que, por prin-cipio, con la operación de una planta de dichas características puede originarse un peligro para las personas y para el medio ambiente, deben considerarse los posibles riesgos y efectos y, dado el caso, deben incorporarse al proyecto las medidas de protección adecuadas. A título de ejemplo se contempla aquí una columna de separación.
Para contemplar los riesgos de seguridad que pueden originar-se debido a la operación de la columna de separación, se rea-liza un análisis HAZOP (Hazard and Operability Study). Para contemplar el número mayor posible de los diferentes aspec-tos del riesgo de seguridad, la observación la realizan diversos expertos, tales como ingenieros químicos, ingenieros de ope-ración, expertos en seguridad industrial, técnicos, personal operador, dirección de planta, etc. Conjuntamente se realiza un análisis de peligros (observación de fallos) a partir de los di-ferentes puntos de vista y de él se deducen las medidas de pro-tección y de corrección necesarias.
Esquema de la columna de separación
TIR
009
PI ZA+
010
FIC
002
LSA+
005
LIC
004
LIC
007
TIC
008
FIC
001
FIC
003
TIC ZA+
006
TI
011
Columna
Salida de aire
Vapor de caldeo
Condensador
Evaporador
Tanque decondensado
Condensado
Producto decantado
Agua de refrigeración
Entrada
Producto cabeza
10 Safety Integrity Level
© Siemens AG 2007
Del análisis de peligros resulta una observación de fallos, de la cual se representa aquí un extracto:
Como relevante para la seguridad se ha identificado el punto de medición de monitoreo de la presión en la cabeza de la co-lumna (010) y el monitoreo de temperatura en el fondo de la columna (006). Se hizo especial hincapié en la presencia de una válvula de seguridad del monitoreo de presión.
En combinación con el gráfico para el cálculo del índice SIL ne-cesario en la página 9, resultan las correspondientes clasifica-ciones en la columna de separación para el monitoreo de pre-sión y temperatura.
N.º Fallo Causa(s) Efecto(s) Medida(s) correctiva(s)
1 Productos de entrada a la columna erróneos o con impurezas
Modificación de la composición de la mezcla en la corriente pro-cedente de unidades de proce-so aguas arriba.
Aumento de temperatura/pre-sión en la columna
❥ Las modificaciones en la composi-ción en la entrada no se producen repentinamente sino progresiva-mente y se detectan durante los análisis periódicos de calidad.
2 Corte de corriente Defecto eléctrico local o a nivel de planta
Fallo de la refrigeración y del caldeo así como de las bombas, dado el caso, aumento de pre-sión y de temperatura
❥ Toda la valvulería pasa a la posi-ción de seguridad.
❥ La columna pasa automáticamen-te a un estado seguro (si el caldeo se desconecta y la entrada se cierra).
3 Rebose en el colector de decantación de la columna
Fallo en lazo de regulación de nivel LIC 004
Inundación de los fondos infe-riores de la columna con peligro de destrucción de los fondos
❥ La protección contra rebose LSA+ 005 cierra la válvula del va-por de caldeo y la válvula de entrada
4 Rebose del depósito de condensado
Fallo en lazo de regulación de nivel LIC 007
Inundación del condensador y pérdida de capacidad de refri-geración, aumento de tempera-tura en la columna
❥ Ver temperatura excesiva en la columna
5 Temperatura excesiva en la columna
Fallo del agua de refrigeración en el condensador de cabeza
Aumento de la presión y des-carga a la salida del vapor de bajo punto de ebullición, Caso A) Con válvula de seguri-dad: Actuación de la válvula de seguridad y liberación de mate-rial al medio ambienteCaso B) Sin válvula de seguri-dad: Exceso de la presión máxi-ma admisible por la columna con pérdida de integridad
❥ El monitoreo de presión PI ZA+ 010 cierra las válvulas del va-por de caldeo y de entrada
❥ Muchos puntos de medición de temperatura para una rápida reac-ción del personal de operación en caso de un aumento inusual de la temperatura.
6 Temperatura excesiva en colector de decantación
Fallo de regulación en entrada de vapor de caldeo
Sobrecalentamiento del pro-ducto del colector por encima de la temperatura máxima ad-misible, reacción de descompo-sición con producción de gas, aumento de la presión por enci-ma de la presión máxima que admite el recipiente
❥ El monitoreo de temperatura TIC ZA+ 006 corta el vapor de caldeo
Monitoreo de presión Tempera-turacon
válvula de seguridad
sin válvula de seguridad
Grado de los daños Cb Cc Cc
Tiempo de perma-nencia en la zona de peligro
Ab Ab Ab
Posibilidad de elimi-nación del peligro
Gb Gb Gb
Probabilidad de ocu-rrencia del suceso
W2 W2 W1
Safety Integrity Level SIL 2 SIL 3 SIL 2
Safety Integrity Level 11
© Siemens AG 2007
Low Demand y High Demand Mode
Puesto que las aplicaciones en la industria de procesos y en la industria manufacturera son bastante diferentes, también al SIS se le exigen requisitos distintos. Por este motivo, para cada una de estas dos ramas de la industria hay un sistema diferen-te en el que se fija el nivel de demanda al SIS. Se diferencian los sistemas por la probabilidad de fallos bajo demanda del SIS (PFD, Probability of Failure on Demand).
Low Demand
Tipo de operación con nivel de demanda bajo al sistema de se-guridad. No se debe demandar la intervención del sistema de seguridad más de una vez al año.
High Demand
Modo de operación con nivel de demanda alto o demanda continua al sistema de seguridad. El sistema de seguridad tra-baja continuamente o se demanda su intervención más de una vez al año.
En manufactura se emplea en la mayoría de los casos el modo High Demand (continuous mode). Aquí es necesario a menu-do un monitoreo continuo de los procesos de trabajo para po-der garantizar la seguridad de las personas y del medio ambiente.
En la industria de procesos se utiliza típicamente el modo Low Demand (on demand). Un ejemplo típico lo constituyen los sistemas de desconexión de emergencia que sólo se activan cuando el proceso pasa a estar fuera de control. Normalmen-te, esto sucede menos de una vez al año. Por este motivo, para la instrumentación de procesos el modo High Demand carece de significado en la mayoría de casos.
Por eso las consideraciones en este folleto se refieren ex-clusivamente a sistemas Low Demand.
SIL PFD Fallo máx. aceptado del SIS
SIL 1 ≥ 10-2 a < 10-1 un fallo peligroso en 10 años
SIL 2 ≥10-3 a < 10-2 un fallo peligroso en 100 años
SIL 3 ≥ 10-4 a < 10-3 un fallo peligroso en 1000 años
SIL 4 ≥10-5 a < 10-4 un fallo peligroso en 10000 años
Valores límite de fallo para una función de seguridad que se hace operar en el modo de operación con nivel de demanda bajo (Low Demand)
SIL PFH (por hora) Fallo máx. aceptado del SIS
SIL 1 ≥ 10-6 a < 10-5 un fallo peligroso en 100.000 horas
SIL 2 ≥10-7 a < 10-6 un fallo peligroso en 1.000.000 horas
SIL 3 ≥10-8 a < 10-7 un fallo peligroso en 10.000.000 horas
SIL 4 ≥10-9 a < 10-8 un fallo peligroso en 100.000.000 horas
Valores límite de fallo para una función de seguridad que se hace operar en el modo de operación con nivel de demanda alto o continuo (High Demand)
12 Safety Integrity Level
© Siemens AG 2007
Comparación entre SIL y AK
DIN 19250/19251 y DIN 0801 eran normas de la industria ale-mana y se emplearon como base para la valoración de produc-tos seguros, antes de introducirse la norma internacional IEC 61508.
Clases de demanda (AK) definidas en DIN 19250 en lugar de los niveles de integridad de seguridad (SIL 1 - 4) de la nueva norma internacional IEC61508.
El principio básico en la aplicación de clases de demanda (AK) se basaba en que mediante el uso exclusivo de dispositivos de una clase de demanda, también el sistema completo cumplía esta clase de demanda. Además se consideraron exclusiva-mente los componentes de cálculo de un SIS.
En la aplicación con SIL se hacen dos consideraciones:
1. Consideración de los fallos sistemáticosAquí ocurre, como en la aplicación con AK, que mediante el enlace de todos los componentes importantes de una clase SIL, el sistema global también cumple las demandas a la clasificación SIL.
2. Consideración de fallos aleatoriosAquí se calcula el SIS completo. Puede ocurrir, por ejemplo, que a pesar de la clasificación de todos los dispositivos en una clase SIL, las demandas no se cumplen.
SIL
El SIS se considera en su totalidad. Debe calcularse la probabi-lidad de fallo y, con ello, el nivel SIL. Para ello se suman las pro-babilidades de fallo individuales de todos los componentes del SIS empleados. También puede suceder que, a pesar del uso exclusivo de componentes SIL 2, no se alcance el nivel SIL 2 en un SIS. Además deben considerarse también los fallos sistemá-ticos del SIS completo.
AK
En un SIS se consideran sólo los componentes de los compu-tadores. Por ejemplo, para dimensionar adecuadamente una instalación AK4, todos los componentes correspondientes de-ben también ser como mínimo AK4.
La tabla siguiente ilustra una comparación de las clases de de-manda AK con el Safety Integrity Level.
DIN19250Clase de requisito
IEC61508Safety Integrity Level
AK 1 no definido
AK 2AK 3
SIL 1
AK 4 SIL 2
AK 5AK 6
SIL 3
AK 7AK 8
SIL 4
Comparación AK (DIN 19250) y SIL (IEC 61508)(en algunos pocos casos puede no concordar)
Safety Integrity Level 13
© Siemens AG 2007
¿A quién afecta la clasificación SIL?
¿Qué dispositivos pueden em-plearse con los diferentes SIL?
En instalaciones que deben cumplir condiciones técnicas de seguridad, las partes implicadas están afectadas por diferentes motivos:
■ Operadores de instalacionesEstablecen los requisitos que han de cumplir los proveedo-res de componentes de seguridad. Éstos deben documen-tar el potencial de riesgo remanente.
■ Constructores de instalacionesDeben dimensionar adecuadamente la instalación.
■ ProveedoresConfirman la clasificación de sus productos.
■ Aseguradoras, autoridadesExigen la demostración de que se ha realizado una reduc-ción suficiente del riesgo remanente de la instalación.
Para poder alcanzar un nivel (SIL 1 - 4), el SIS completo debe cumplir los requisitos para fallos sistemáticos (especialmente el software) y fallos aleatorios (hardware). Por consiguiente, el resultado del cálculo del SIS completo debe atenerse al SIL requerido.
En la práctica, esto depende principalmente del diseño con-ceptual de la instalación o del circuito de medición. Así, en una instalación SIL 3 pueden emplearse también dispositivos SIL 2. Con dispositivos SIL 1 no se cumplen generalmente los requisitos.
En muchos casos resulta ventajoso emplear dos sensores, ya que el operador de la instalación exige redundancia por moti-vos de disponibilidad. Una pequeña ventaja adicional radica en que el coste de dos dispositivos SIL 2 en la mayoría de los casos es más favorable que para un dispositivo SIL 3.
SIL 4 no es realizable con dispositivos tradicionales.
,No. En principio se puede decir que la probabilidad de fallo del SIS completo debe conducir por cálculo a SIL 3. Mediante la operación redundante de dispositivos SIL 2 se puede reducir la probabilidad de fallo para fallos aleatorios. Pero para saber si es suficiente para SIL 3, debe determinarse contemplando los fallos sistemáticos y los aleatorios. Por lo que respecta a los fa-llos sistemáticos (p. ej. software) el sistema completo debe cumplir también los requisitos para SIL 3.
Análogamente, esta forma de proceder es aplicable también para otros niveles SIL.
¿Si dos dispositivos SIL 2 operan con redundancia, tengo automáticamente SIL 3?
?SIL2 SIL2
14 Safety Integrity Level
© Siemens AG 2007
Tipos de errores
En un sistema instrumentado de seguridad se diferencia entre errores sistemáticos y errores aleatorios. Para poder cumplir un nivel SIL exigido, deben considerarse independiente-mente entre sí los dos tipos de error.
Errores aleatorios
En el momento de la entrega no existen errores aleatorios. Son el resultado de averías del hardware y se originan aleatoria-mente durante el funcionamiento. Los errores aleatorios pue-den consistir, p.ej. en: Cortocircuito, interrupción, deriva de valores de un componente... La probabilidad de los errores y, con ella, el valor de la probabilidad de fallo es calculable. Se calculan los valores para los diferentes componentes de hard-ware de un SIS. Los resultados obtenidos a partir de este cálcu-lo se expresan mediante el valor PFD (average probability of fa-ilure on demand) y constituyen la base de cálculo para la determinación del índice SIL.
Errores sistemáticos
Todos los dispositivos suministrados contienen errores siste-máticos en el momento de la entrega. Típicamente son errores de desarrollo o errores en el diseño o en la configuración. Constituyen ejemplos de los mismos los errores de software, un dimensionamiento incorrecto, un diseño incorrecto del ins-trumento de medida... . Los errores de software de los dispo-sitivos representan la mayor parte de los errores sistemáticos. La consideración básica en los errores de software sistemáti-cos es que los errores en la programación también pueden ori-ginar un fallo en el proceso.
Errores de causa común
Unos errores sistemáticos especiales son los "errores de causa común". Son errores causados por factores externos como, por ejemplo, perturbaciones electromagnéticas (CEM) u otros fac-tores medioambientales, como por ejemplo la temperatura o las solicitaciones mecánicas. Repercuten simultáneamente so-bre todos los componentes de un "Safety Instrumented System" (sistema instrumentado de seguridad).
Los errores sistemáticos deben evitarse adoptando medidas especiales durante la etapa de desarrollo. Forman parte de ellas, por ejemplo, los requisitos cualitativos que la norma IEC exige al proceso de desarrollo, al proceso de modificaciones y a la arquitectura de hardware/software del dispositivo.
Los fabricantes del dispositivo deben proporcionar los datos sobre la clasificación SIL en lo relativo a los errores sistemáti-cos. Por regla general, estos datos se incluyen en la declara-ción de conformidad de los distintos dispositivos. Dependien-do del SIL, los datos se proporcionan también por mediación de certificados de organismos independientes externos como el TÜV o certificaciones de empresas especializadas en ensa-yos como exida.
Estos datos no son valores para cálculos ulteriores sino que sólo proporcionan información sobre la clasificación SIL del dispositivo en lo relativo a los errores sistemáticos.
Para poder satisfacer los requisitos exigidos en cuanto a erro-res sistemáticos para un SIL determinado (p. ej., SIL 3), debe dimensionarse convenientemente el SIS completo. El modo de proceder más simple, en este caso, consiste en que todos los componentes tengan una clasificación SIL 3 para errores sistemáticos.
Redundancia diversificada con errores sistemáticos
Sin embargo, existe también la posibilidad de utilizar compo-nentes SIL 2, si se han adoptado medidas que no permiten que se produzca un error sistemático en el nivel SIL 2. Si por ejem-plo se han de utilizar instrumentos de medida de presión SIL 2 en un SIS SIL 3, deberá emplearse un software distinto del dis-positivo. Esto se consigue, por ejemplo, empleando dos dispo-sitivos distintos, a ser posible de distintos fabricantes (redun-dancia por diversificación, ver también la figura de la página 21). Puede considerarse también que hay redundancia diversificada cuando, en lugar de utilizar dispositivos distintos se emplean tecnologías distintas (siempre que sea posible), por ejemplo con un instrumento de medida de presión o de temperatura.
Dimensionado 15
© Siemens AG 2007
Ejemplos de cálculo (errores aleatorios)
Cálculo de un SIS con un sensor SIL 2
Valores dados:
PFDsist.= PFDS + PFDL + PFDA
PFDsist. = 1,5 * 10-3 + 1,3 * 10-4 + 7,5 * 10-4
PFDsist. = 2,38 * 10-3 (SIL 2)
Empleando estos componentes, el SIS alcanza el PFD para SIL 2.
Cálculo de un SIS exclusivamente con componentes SIL 3
Valores dados:
PFDsist. = PFDS + PFDL + PFDA
PFDsist. = 6,09 * 10-3+ 1,3 * 10-4 + 5,0 * 10-4
PFDsist. = 1,24 * 10-3 (SIL 2)
Empleando estos componentes, el SIS alcanza el PFD para SIL 2.
Este ejemplo pone de manifiesto claramente que, a pesar de utilizar exclusivamente componentes SIL 3, el SIS no al-canza el PDF para SIL 3.
PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)
PFD controlador 1,3 * 10-4 (apropiado para SIL 3)
PFD actuador 7,5 * 10-4 (apropiado para SIL 3)
SIL PFD
SIL 1 ≥ 10-2 a < 10-1
SIL 2 ≥ 10-3 a < 10-2
SIL 3 ≥ 10-4 a < 10-3
SIL 4 ≥ 10-5 a < 10-4
Ejemplo de sensor 1oo1(de 1 unidad disponible es necesaria 1 unidad para función)
Sensor ASIL 2
Controlador (p.ej. PLC)SIL 3
ActuadorSIL 3
PFD sensor B 6,09 * 10-4 (apropiado para SIL 3)
PFD controlador 1,3 * 10-4 (apropiado para SIL 3)
PFD actuador 5,0 * 10-4 (apropiado para SIL 3)
SIL PFD
SIL 1 ≥ 10-2 a < 10-1
SIL 2 ≥ 10-3 a < 10-2
SIL 3 ≥ 10-4 a < 10-3
SIL 4 ≥ 10-5 a < 10-4
Ejemplo de sensor 1oo1(de 1 unidad disponible es necesaria 1 unidad para función)
Sensor BSIL 3
Controlador (p.ej. PLC)SIL 3
ActuadorSIL 3
Nota importante: ¡Los cálculos que se muestran se refieren exclusivamente a los errores aleatorios! La comprobación de que un SIS cumple también realmente los requisitos de un SIL exigido, debe realizarse además en relación a los errores sistemáticos.
Observación:
Los ejemplos que aquí se muestran están representados de forma muy simplificada y sirven exclusivamente para la com-prensión básica. ¡Para un cálculo exacto no puede hacerse uso de estos ejemplos!
En los ejemplos de cálculo se emplean las abreviaturas siguientes:
Abreviatura Explicación
PFD Valor medio de la probabilidad de fallo de la función bajo demanda
PFDsist. Probabilidad de fallo del sistema (del SIS completo)
PFDS Probabilidad de fallo del sensor
PFDL Probabilidad de fallo de los componentes lógicos/controlador
PFDA Probabilidad de fallo del actuador
16 Dimensionado
© Siemens AG 2007
Cálculo de un SIS con sensores redundantes
Valores dados:
PFDS = 1,52*10-4
El cálculo del valor PFD para la interconexión redundante de los dos sensores es demasiado complejo como para reprodu-cirlo aquí de forma comprensible. El valor puede variar de for-ma aún más acusada si se emplean por ejemplo diferentes tec-nologías, diferentes fabricantes o diferentes diseños de los dis-positivos.
PFDsist. = PFDS + PFDL + PFDA
PFDsist. = 1,52 * 10-3+ 1,3 * 10-4 + 6,8 * 10-4
PFDsist. = 9,62 * 10-4 (SIL 3)
Empleando estos componentes, el SIS alcanza el PFD para SIL 3.
Este ejemplo pone de manifiesto claramente que, a pesar de utilizar componentes SIL 2, el SIS completo alcanza el PDF para SIL 3.
Cálculo de un SIS con sensores redundantes (peor valor del actuador)
Valores dados:
PFDS = 1,52*10-4
El cálculo del valor PFD para el caso de interconexión redun-dante de los dos sensores es demasiado complejo como para reproducirlo aquí de forma comprensible. El valor puede variar de forma aún más acusada si se emplean por ejemplo diferen-tes tecnologías, diferentes fabricantes o diferentes diseños de los dispositivos.
PFDsist. = PFDS + PFDL + PFDA
PFDsist. = 1,52 * 10-3+ 1,3 * 10-4 + 7,5 * 10-4
PFDsist. = 1,03 * 10-3 (SIL 2)
Empleando estos componentes, el SIS alcanza el PFD para SIL 2.
Este ejemplo pone de manifiesto claramente que, a pesar de utilizar sensores SIL 2 redundantes, el SIS no alcanza el PDF para SIL 3.
PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)
PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)
PFD sensor AA 1,52 * 10-4 (apropiado para SIL 3)
PFD controlador 1,3 * 10-4 (apropiado para SIL 3)
PFD actuador 6,8 * 10-4 (apropiado para SIL 3)
SIL PFD
SIL 1 ≥ 10-2 a < 10-1
SIL 2 ≥ 10-3 a < 10-2
SIL 3 ≥ 10-4 a < 10-3
SIL 4 ≥ 10-5 a < 10-4
Sensor A
Sensor A
Sensores AA
Ejemplo de sensor 1oo2(de 2 unidades disponibles es necesaria 1 unidad para función)
Sensores AASIL 3
Controlador (p.ej. PLC)SIL 3
ActuadorSIL 3
PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)
PFD sensor A 1,5 * 10-3 (apropiado para SIL 2)
PFD sensor AA 1,52 * 10-4 (apropiado para SIL 3)
PFD controlador 1,3 * 10-4 (apropiado para SIL 3)
PFD actuador 7,5 * 10-4 (apropiado para SIL 3)
SIL PFD
SIL 1 ≥ 10-2 a < 10-1
SIL 2 ≥ 10-3 a < 10-2
SIL 3 ≥ 10-4 a < 10-3
SIL 4 ≥ 10-5 a < 10-4
Sensor A
Sensor A
Sensores AA
Ejemplo de sensor 1oo2(de 2 unidades disponibles es necesaria 1 unidad para función)
Sensores AASIL 3
Controlador (p.ej. PLC)SIL 3
ActuadorSIL 3
Dimensionado 17
© Siemens AG 2007
¿Tiene ventajas tener un índice SIL más alto posible?
¿Por qué es ventajoso para un operador tener una instalación conforme a SIL/SIS?
Los operadores de la instalación son responsables de acreditar la seguridad funcional de su instalación. A menudo no están seguros de si deben alcanzar un SIL alto o uno bajo para su ins-talación. El requisito de un determinado SIL se obtiene deter-minando el riesgo remanente que deriva de la instalación. En principio se persigue un SIL lo más bajo posible. Esto no sólo supone un considerable ahorro de costes, sino también una gama de dispositivos mucho mayor.
Un SIL alto sólo es necesario cuando es inevitable o cuando con él se consigue un ahorro de costes en un apartado que permita compensar los costes adicionales (por ejemplo, aho-rrando medidas constructivas adicionales).
La norma proporciona también una base común para fabrican-tes y usuarios que permite vigilar la eficacia del proceso de de-sarrollo. Si los usuarios eligen dispositivos seguros para conse-guir el SIL previsto para su instalación, pueden estar seguros que en el desarrollo se han empleado procedimientos unificados.
Así se le facilita al operador de la instalación la acreditación de la reducción del riesgo exigida legalmente. Esta acreditación la precisa para obtener el permiso de funcionamiento de la ins-talación. No es obligatorio emplear productos con clasificación SIL. Sin embargo, con ellos se facilita considerablemente la acreditación porque en estos productos el riesgo remanente ya es conocido (e inequívoco).
18 Comprobación y certificación
© Siemens AG 2007
¿Qué grado de seguridad ofrece la comunicación por bus?
En la industria de procesos se puede observar claramente la tendencia a que entre los componentes cada vez se transmiten más datos. Esto se realiza conforme a los protocolos más diver-sos, como HART, PROFIBUS o Foundation Fieldbus, o bien con señales digitales moduladas sobre la señal de 4 a 20 mA o bien mediante comunicación por bus empleando un bus de campo.
Debido a la variedad de posibilidades de error, como p. ej. ra-diación electromagnética y por su complejidad los sistemas de bus no son aceptados por la norma como seguros.
Por eso, para una comunicación de datos segura mediante un bus o bus de campo se precisan algoritmos de software espe-ciales que puedan garantizar una transmisión segura. El único protocolo que actualmente cumple estos requisitos es PROFIBUS con perfil PROFIsafe. En la industria manufacturera se ha acreditado ya desde hace mucho tiempo PROFIsafe para aplicaciones de seguridad. En la industria de procesos PROFIsafe va cobrando cada vez más importancia a medida que aumenta el número de dispositivos de campo disponibles, y contribuye a que también se pueda sacar provecho de las ventajas de la tecnología de bus de campo en los sistemas de seguridad.
Comprobación y certificación 19
© Siemens AG 2007
Evaluaciones por parte de los fabricantes
¿Qué certificados son necesarios? ¿Quién los puede expedir?
Evaluación según IEC 61508
Las especificaciones de la IEC 61508 abarcan el ciclo completo de la vida del producto, desde la idea hasta la eliminación del producto. Para desarrollar un componente conforme a esta norma deben seguirse y verificarse los correspondientes pro-cedimientos y medidas técnicas adicionales desde el desarro-llo hasta la fabricación. Debido a este gasto en parte adicional, el desarrollo de un producto de seguridad es más costoso que el de un componente estándar sin certificado SIL.
Los dispositivos no pueden clasificarse a posteriori según IEC 61508.
Evaluación según IEC 61511 (probado en uso)
Actualmente hay muy pocos dispositivos que se hayan desa-rrollado completamente según la norma IEC 61508. Para per-mitir realmente una selección de dispositivos que sea practica-ble, en la IEC 61511 se contempló la posibilidad de evaluar la prueba en uso o servicio. En la práctica los dispositivos anti-guos ya llevan muchos años empleándose con éxito. Por esto, el análisis de las estadísticas de fallo se puede usar bajo ciertas circunstancias para calificar la seguridad funcional. El objetivo es determinar, sin lugar a dudas, si realmente se ha consegui-do la seguridad funcional requerida. El proceso de justificación debe realizarse empleando un número de unidades suficiente-mente grande y debe contener datos sobre la duración del ser-vicio y sobre las condiciones de utilización. La duración de uso mínima es de 1 año y adicionalmente un número determinado de horas de servicio. El resultado de una prueba en servicio sólo es válido para la versión del producto para el cual se ha de-mostrado. Todas las modificaciones futuras del producto de-ben realizarse según IEC 61508.
Los operadores de la instalación precisan un certificado de la clasificación SIL de los componentes empleados por el SIS. Se-gún IEC 61511 son plenamente suficientes para ello las decla-raciones del fabricante. Los certificados no son un requisito le-gal ni los exige la norma.
Para poder expedir una declaración del fabricante o un certifi-cado, se precisa la valoración técnica de los componentes de seguridad que se han de utilizar. A menudo, la evaluación la realiza un organismo independiente como p. ej. TÜV o exida. Tras una evaluación favorable, el fabricante puede expedir una declaración de fabricante y, dado el caso, remitirse al informe de prueba respectivo.
A diferencia de las declaraciones del fabricante, los certifica-dos sólo los podrá expedir un organismo acreditado (p. ej. TÜV).
Cuanto mayor es el grado de seguridad que se exige a una ins-talación, tanto más independiente debe ser la persona que ex-pide una evaluación de la seguridad funcional.
SIL 1 Persona independiente
SIL 2 Departamento independiente
SIL 3 Organización independiente
SIL 4 Organización independiente
Resumen de las instancias de evaluación
Declaración de conformi-dad (declaración del fa-bricante)
El fabricante certifica que según sus comprobaciones y cálculos o debido a que ha sido probado en uso se alcanza un determinado nivel SIL. A menudo, la verificación la realiza un organismo de inspección técnica como p. ej. exida o TÜV.
Certificado Lo expide un organismo acreditado in-dependiente (p. ej. TÜV).
Resumen de los posibles certificados
20 Comprobación y certificación
© Siemens AG 2007
Posibilidades de configuración (monocanal/redundante)
Configuración monocanalun solo dispositivo
Configuración redundante bicanaldos dispositivos iguales
Configuración redundante diversificadados dispositivos diferentes(medida que hace que un error sistemático no pueda producirse simultáneamente)
Dos tecnologías diferentes
+
+
+
Comprobación y certificación 21
© Siemens AG 2007
¿Qué se puede evaluar? Instalaciones nuevas - Instalaciones antiguas (protec-ción de activos existentes)
Se pueden evaluar los elementos siguientes:
■ el dispositivo completo
■ errores aleatorios (sólo hardware)
■ errores sistemáticos (hardware y software)
Se aplica la protección de activos en instalaciones ya existen-tes. Sin embargo, esto significa que, en caso de reestructura-ciones o ampliaciones de la instalación, los nuevos componen-tes son evaluados según las nuevas normas.
22 Comprobación y certificación
© Siemens AG 2007
A continuación se hace hincapié en indicaciones importantes en relación con el tema de la "seguridad funcional" (SIL):
■ El proveedor del dispositivo no influye para nada en la cla-sificación SIL de la instalación
■ Para poder evaluar a partir de qué instante un sistema ins-trumentado de seguridad (SIS) cumple un SIL requerido, debe calcularse siempre la probabilidad de fallo de los erro-res aleatorios.
■ En última instancia, para el operador de la instalación es importante, por tanto, el valor de la probabilidad de fallo de los componentes empleados. Por consiguiente, la clasi-ficación SIL del dispositivo a menudo sirve sólo como refe-rencia orientativa para el cálculo.
■ Además, la cadena de procesamiento debe cumplir los re-quisitos necesarios para evitar errores sistemáticos.
■ La indicación del nivel SIL de un dispositivo significa sólo que es apropiado, en principio, para el uso de una instala-ción con el correspondiente nivel SIL.
■ La norma requiere una evaluación de la seguridad funcio-nal. Los certificados no son un requisito legal ni los exige la norma.
■ Para los procesos industriales vale la norma de aplicación IEC 61511.
Resumen 23
© Siemens AG 2007
Para más información, visite la web.
Suje
to a
cam
bio
s si
n p
revi
o a
viso
| Re
fere
nci
a E8
60
60
-A6
20
0-A
10
1-A
3-7
80
0 |
Dis
po 0
95
11
| K
B 0
40
7 1
. RO
T 2
4 E
S/71
5186
| Im
pres
o en
Ale
man
ia |
© S
iem
ens
AG
20
07
www.siemens.com/sil
www.siemens.com/safety
www.siemens.com/processanalytics
www.siemens.com/processsafety
www.siemens.com/processinstrumentation
Siemens AG
Automation and DrivesSensors and CommunicationPostfach 48 4876181 KARLSRUHEALEMANIA
www.siemens.com/processinstrumentat ion
Este prospecto contiene descripciones o prestaciones que en el caso de aplica-ción concreto pueden no coincidir exactamente con lo descrito, o bien haber sido modificadas como consecuencia de un ulterior desarrollo del producto. Por ello, la presencia de las prestaciones deseadas sólo será vinculante si se ha es-tipulado expresamente al concluir el contrato. Reservadas las posibilidades de suministro y modificaciones técnicas.
Todas las designaciones de productos pueden ser marcas o nombres de productos de Siemens AG o de subcontratistas suyos, cuyo uso por terceros puede violar los derechos de sus titulares.