SlideShare una empresa de Scribd logo

Sistema instrumentado de seguridad (sis)

Marco Enrique Ramos Castillo
Marco Enrique Ramos Castillo

Información Básica sobre los Sistema Instrumentado de seguridad

Ingeniería
1 de 80
Descargar para leer sin conexión
SIS 101 ¿Qué es el riesgo? 15 minutos En este curso: O Generalidades 1 ¿Qué está en riesgo? 2 Identificando los riesgos 3 Riesgo inherente 4 Evaluación del riesgo 5 Riesgo tolerable 6 Sumario Q Examen © 2005 Emerson Process Management. Todos los derechos reservados. Generalidades La implementación de un sistema instrumentado de seguridad (SIS) puede ser un gran trabajo. Considerando la importancia de la seguridad de la planta, ésta es una tarea que debe hacerse correctamente a la primera vez. Si usted comprende los conceptos básicos de la seguridad de la planta y de los sistemas instrumentados de seguridad antes de que comience el trabajo, tendrá una mejor idea de hacia dónde va y de qué clases de preguntas se debe hacer usted mismo y a los demás a medida que avanza. Este curso introduce quizá lo más básico de esos conceptos: el riesgo. Describiremos las clases de riesgos que generalmente se consideran en los programas de seguridad de las plantas, así como la manera en que se identifican y se evalúan dichos riesgos. Al final del curso, usted encontrará un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, preste especial atención a lo siguiente: o Las dos partes de la identificación de los riesgos peligrosos o ¿Qué produce los riesgos inherentes? o ¿Cómo se cuantifican los riesgos? o ¿Quién determina cuándo un riesgo es tolerable? ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. ¿Qué está en riesgo? En las normas de seguridad tales como IEC 61511, lo que está en riesgo se identifica como personal y medio ambiente. Sin embargo, la mayoría de las compañías usan una lista de categorías de riesgos más amplia que también puede incluir lo siguiente: • Seguridad y salud públicas • Costos de responsabilidad civil • Interrupciones de la producción y problemas de calidad • Daños a equipo y costos de reparación ¿Qué es IEC 61511? IEC 61511 – sobre lo que aprenderá en el curso SIS 103 – es una norma de seguridad internacional emitida por la Comisión Electrotécnica Internacional (www.iec.ch). Aunque la comisión IEC tiene su sede en Suiza, sus normas
se usan en todo el mundo – no sólo en Europa. La norma IEC con la que estamos familiarizados la mayoría de los que trabajamos en la automatización de procesos es la IEC 61131-3, que describe los lenguajes de programación de sistemas de control. Identificando los riesgos Un paso clave para mantener o mejorar la seguridad es identificar los riesgos que la amenazan. Como lo indica el diagrama, la identificación de los riesgos requiere que se responda a ambas partes de la pregunta, “¿Cuál es la probabilidad de que ocurra un evento dañino, y cuáles son las consecuencias si ocurre?” El reto es identificar los riesgos por adelantado para que se puedan reducir o eliminar – por ejemplo, cambiando la formulación de un producto o reduciendo las cantidades de material peligroso presente. El riesgo está determinado tanto por la probabilidad como por las consecuencias de un evento. Probabilidad AltaBaja Consecuencias Menores Extensas
La tarea de identificar y clasificar el riesgo se hace a menudo en etapas, incrementando en cada una el nivel de complejidad y perfección. La siguiente tabla muestra algunas de las técnicas más comunes. Técnicas de identificación de riesgos Cuándo las podría usar • Revisión de seguridad • Lista de verificación • Análisis preliminar de peligros • Qué tal si • Estudio HAZOP (HAZard, peligro y OPerability, operabilidad abreviado) Se usa en estudios de evaluación de peligros preliminares para proporcionar un panorama general de los riesgos existentes. (Generalmente no consume demasiado tiempo.) • Qué tal si/Lista de verificación • Estudio HAZOP detallado y completo • Análisis de evento y modo de falla Se usa para desarrollar un análisis más detallado de los riesgos potenciales. • Análisis de árbol de fallas • Análisis de árbol de eventos • Análisis causa-consecuencia • Análisis de fiabilidad humana Se usa en combinación con el análisis cuantitativo de riesgos para establecer un alto nivel de detalle acerca de los riesgos. (Generalmente se usa sólo para áreas u operaciones unitarias específicas.) Riesgo inherente La mayoría de las instalaciones de procesos tienen demasiados componentes de equipo que cada uno contribuye a lo que se llama riesgo inherente – en otras palabras, el riesgo que existe debido a la naturaleza del proceso, incluyendo el equipo y los materiales presentes. Por ejemplo, los riesgos inherentes de viajar en un automóvil incluyen los accidentes ocasionados por los errores del conductor, neumáticos pinchados o (aunque no muy probable) incendio del combustible. La evaluación de todo el proceso ayuda a determinar la probabilidad de que ocurra un evento riesgoso, y la evaluación de los materiales (tipo y cantidad) ayuda a determinar las consecuencias del riesgo. Veamos cómo el riesgo inherente se aplica a un ejemplo de la industria de procesos – un tanque presurizado que contiene amoniaco.
Al mirar en el proceso completo se hacen evidentes varios riesgos inherentes que podrían conducir a una liberación de amoniaco, incluyendo la posibilidad de que ocurra lo siguiente: • Ruptura del tanque debido a un exceso de presión y/o defectos de las uniones • Fugas en las uniones de la tubería, empaque de la válvula y/o tomas del sensor • Imposibilidad de los transmisores, válvula de control y/o sistema de control básico del proceso (tal como un SCD o PLC) para mantener el volumen y presión correctos en el tanque Cada uno de estos riesgos tiene una probabilidad. Las consecuencias dependen en gran medida de los peligros de exposición del personal al amoniaco – incluyendo irritación de los ojos y del sistema respiratorio. Evaluación del riesgo La evaluación del riesgo, aunque es potencialmente subjetiva, se hace generalmente usando un modelo de evaluación de riesgo corporativo establecido que fue desarrolado por gente competente – tales como ingenieros, químicos y abogados – que están capacitados para evaluar y cuantificar la causa, el efecto y la responsabilidad civil. El desarrollo de un modelo de evaluación de riesgo para cada categoría en riesgo requiere que se establezca un medio consistente de describir tanto la probabilidad (frecuencia) como la consecuencia (gravedad) de un evento. Cuando se desarrollan modelos de evaluación de riesgo, es buena idea usar cuantificaciones amplias – tales como órdenes de magnitud en lugar de valores exactos – para evitar quedarse atascado en trabajo minucioso debido a los niveles de riesgo demasiado precisos. Probabilidad. Las consecuencias de un evento pueden ser graves, pero la probabilidad de que ocurra puede ser baja. Para garantizar que diferentes grupos de personas dentro de la misma compañía establezcan aproximadamente las mismas clasificaciones de riesgo para eventos similares, el modelo debe incluir una medida cuantificada consistente de probabilidad o frecuencia del evento. Por ejemplo, una baja probabilidad se podría definir como menos de 1 oportunidad en 10,000 del evento que ocurra durante un año. Chimenea/AntorchaVálvula de alivio Transmisor de presión Sistema de control básico del proceso Transmisor de nivel Válvula de control de nivel
Ejemplo de modelo de evaluación de riesgo para probabilidad: Probabilidad Tipo de eventos Baja (v.g., menos de 1/10,000 anualmente) Eventos tales como múltiples fallas de diversos instrumentos o válvulas, múltiples errores humanos en un ambiente libre de tensión o fallas espontáneas de tanques de proceso. Media (v.g., 1/10,000 – 1/1000 anualmente) Eventos tales como fallas de válvulas o instrumentos duales, o importantes liberaciones en áreas de carga/descarga. Alta (v.g., más de 1/1000 anualmente) Eventos tales como fugas en el proceso, fallas de válvulas o instrumentos individuales, o errores humanos que ocasionan pequeñas liberaciones de materiales peligrosos. Adaptado de IEC 61511-3, Tabla C.1 - Frecuencia de probabilidad de eventos peligrosos Consecuencia. El modelo también debe incluir una manera de evaluar y definir las consecuencias para cada categoría en riesgo. Por ejemplo, la siguiente tabla muestra una manera en que se podrían definir las consecuencias en términos del número de lesiones o cantidad de daños materiales. Ejemplo de modelo de evaluación de riesgo para consecuencia: Consecuencias Impacto Menores (v.g., lesiones o más de $100,000 de daños o pérdida de producción) Daños menores al equipo. No hay paro del proceso. Lesiones temporales al personal y daños al medio ambiente. Graves (v.g., hospitalización o más de $250,000 de daños o pérdida de producción) Daños al equipo. Paro breve del proceso. Lesiones graves al personal y al medio ambiente. Extensas (v.g., la muerte o más de $1,000,000 de daños o pérdida de producción) Daños de gran escala al equipo. Paro de un proceso por mucho tiempo. Consecuencias catastróficas al personal y/o al medio ambiente. Adaptado de IEC 61511-3, Tabla C.2 – Criterios de clasificación de la gravedad del impacto debido a eventos peligrosos. Para el ejemplo del tanque de amoniaco, la probabilidad de que haya liberación de amoniaco se determina combinando la probabilidad de riesgos como los que se muestran en “Riesgos inherentes”. En este caso, hemos determinado que el riesgo total de las fugas es medio (entre 1 cambio en 1000 y 1 oportunidad en 10,000). Las consecuencias de tal evento se determinan principalmente por la cantidad de amoniaco liberado y que podría afectar al personal de la planta y al público. En nuestro ejemplo, hemos determinado que una ruptura del tanque y la liberación de amoniaco ocasionada se considerarían graves. Este modelo relativamente sencillo es sólo un ejemplo de cómo se podría evaluar el riesgo. Veremos otro modelo más cuantitativo en el curso SIS 102.
Riesgo tolerable Todos sabemos que hay un punto donde el riesgo se vuelve “intolerablemente alto”. Así mismo, sabemos que hay un punto donde el riesgo se vuelve bastante aceptable por ser muy pequeño. Entre esos dos puntos está el área de riesgo tolerable. Cada uno de nosotros toma decisiones acerca de lo que constituye el riesgo tolerable en nuestras propias vidas – por ejemplo, decidir detenerse o avanzar por un semáforo que se acaba de poner en amarillo. (El riesgo de fatalidad de tráfico es de 2 en 1,000 años-persona.) En una planta de procesos, los trabajadores se exponen a menudo a múltiples y simultáneos riesgos. El propósito de un programa de seguridad de la planta – incluyendo los sistemas instrumentados de seguridad – es garantizar que esta exposición sea tolerable en todo momento. Entonces, ¿cuáles son los números adecuados para el riesgo tolerable en el entorno de una planta? Hay una respuesta “correcta”; el propietario/oerador de la planta debe decidir los criterios de riesgo tolerable para la planta. La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en un determinado contexto de acuerdo a los valores actuales de la sociedad. La mayoría de las compañías incluyen las lesiones, las muertes y el dinero entre otros factores que consideran. Las “mejores estimaciones” de qué constituye el riesgo tolerable pueden ser de acuerdo a los resultados de investigación de circunstancias y eventos similares en otras plantas e industrias. Otras veces, los riesgos tolerables están disponibles en fuentes tales como la Administración de Seguridad y Salud Laboral (OSHA, por sus siglas en inglés) de los Estados Unidos <www.osha.gov>, Conferencia Americana de Higienistas Industriales (ACGIH, por sus siglas en inglés) <www.acgih.org>, Agencia de Protección Ambiental (EPA, por sus siglas en inglés) de los Estados Unidos <www.epa.gov> o agencias similares en otros países. Algunas referencias muestran los puntos más altos de riesgo tolerable como 1 fatalidad por 1,000 años de exposición para los trabajadores, y 1 fatalidad por 10,000 años de exposición para el público. Esas mismas referencias clasifican 1 fatalidad por 100,000 años de exposición como riesgo insignificante. Sin embargo, áreas mundiales individuales, países y compañías frecuentemente aplican menores números de riesgo aceptable. El riesgo tolerable está determinado por las consecuencias así como por la probabilidad. Para el ejemplo del tanque de amoniaco, usaremos niveles de esposición humana al amoniaco aceptables localmente. Para los trabajadores en campo en los Estados Unidos, la OSHA dice que la máxima exposición es una concentración atmosférica de 50 partes por millón (ppm) en un período de 8 horas. Es posible que también se tengan que considerar otros límites. Por ejemplo, ¿qué tal si hay una escuela cercana? Para la exposición del público, la ACGIH permite sólo 25 ppm de amoniaco en el mismo período de tiempo. Números como éstos ayudan a determinar la reducción necesaria del riesgo que un sistema instrumentado de seguridad debe lograr – describiremos esto en el siguiente curso. Riesgo intolerablemente alto Riesgo tolerable Riesgo bajo muy aceptable
Sumario En este curso usted ha aprendido que: • Los riesgos constan de la probabilidad y de las consecuencias. • Los riesgos inherentes son los que se encuentran en el proceso completo, incluyendo el equipo y los materiales. • La cuantificación del riesgo requiere el uso de un modelo de evaluación de riesgos establecido. • Los riesgos tolerables son los números de lesiones, muertes o pérdida de dinero (y su frecuencia) que estamos dispuestos a aceptar.
Página 1 de 6 SIS 102 Reducción del riesgo 15 minutos En este curso: O Generalidades 1 Reducción de riesgo necesaria 2 Nivel de integridad de seguridad (SIL) 3 Capas de protección 4 Sistemas instrumentados de seguridad 5 Poniendo todo junto 6 Sumario Q Examen © 2005 Emerson Process Management. Todos los derechos reservados. Generalidades En el curso anterior aprendimos que los riesgos inherentes son los que se encuentran en el proceso mismo (incluyendo el equipo y los materiales), y los riesgos tolerables están definidos por el número y la frecuencia de lesiones, muertes y pérdidas financieras que estamos dispuestos a aceptar. Cuando el riesgo inherente es mayor que el riesgo tolerable, la primera elección sería eliminar el riesgo. Si no se puede eliminar, debe ser minimizado o mitigado – por medios activos tales como válvulas de alivio o sistemas de seguridad o por medios pasivos tales como diques de contención o contenciones para tanque o tubería. Pero ¿qué tan seguro es suficientemente seguro? Sin un buen entendimiento de los riesgos, es posible caer en la tentación de exagerar los diseños de las soluciones de reducción de riesgos, que pueden consumir las ganancias. Los costos potenciales de un diseño de seguridad escaso pueden ser incluso mayores. Por eso es importante identificar cuánto se deben reducir los riesgos, y luego diseñar una solución que brinde nivel adecuado de protección. Esos son los temas en los que nos concentraremos en este curso. Al final del curso, usted encontrará un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, preste especial atención a lo siguiente: o Los dos enfoques para la determinación de la reducción de riesgos necesaria o El propósito de los niveles de integridad de seguridad o Cómo las capas de seguridad previenen o mitigan los riesgos o Qué constituye un sistema instrumentado de seguridad ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Reducción de riesgo necesaria ¿Qué tanto necesitamos reducir el riesgo? Hay dos maneras de encontrar una respuesta: cuantitativa y cualitativa.
Página 2 de 6 Cuantitativa. Podríamos cuantificar todos los riesgos inherentes que están asociados con cada evento peligroso y comparar la suma con el nivel de riesgo que ha sido definido como tolerable. Por ejemplo, es posible que queramos reducir la frecuencia de una fatalidad desde una vez cada 10 años a una vez cada 10,000 años. En otras palabras, queremos reducir el riesgo en un factor de 1000 – por lo cual usted verá frecuentemente referencias al factor de reducción de riesgo (FRR) o RRF. Aunque este enfoque se usa cada vez más a menudo, implica dos retos. • Usted necesita reunir muchos datos para hacer que los cálculos sean significativos. • Usted tiene que expresar niveles cuantificados específicos del riesgo que está preparado para tolerar, tal como una lesión grave por año. Eso puede hacer que la gente – y las compañías – se sientan incómodas. Cualitativa. La segunda manera de evaluar la reducción de riesgo requerida es usar clasificaciones cualitativas como las de los ejemplos de modelos de consecuencia y probabilidad descritos en el curso SIS 101. ¿Recuerda el ejemplo del tanque de amoniaco de ese curso? Allí definimos la probabilidad de una ruptura del tanque como “media” y la consecuencia como “grave”. Hay varias maneras de hacer esta evaluación cualitativa, incluyendo las gráficas de riesgo y las matrices de peligro. Por ejemplo, podemos usar una matriz de peligro como la siguiente para identificar el nivel requerido de reducción de riesgo – en este caso, nivel 2. Chimenea/Antorcha Válvula de alivio Transmisor de presión Sistema de control básico del proceso Transmisor de nivel Válvula de control de nivel Riesgo demasiado alto – rediseñar el proceso No se requiere Alta Baja Media Menores Graves Extensas Consecuencias Probabilidad
Página 3 de 6 Generalmente, el personal de gestión de riesgos corporativos desarrolla estas matrices y las recomendaciones para usarlas. Los valores de la matriz se llaman niveles de integridad de seguridad o SILs. El siguiente tema explica qué significan los números de la matriz. Nivel de integridad de seguridad (SIL) Los niveles de integridad de seguridad que se muestran en la matriz anterior identifican el nivel de reducción de riesgo requerido para una función de seguridad en particular. (Una función de seguridad is la capacidad de reducir o eliminar el riesgo de una condición o peligro específicos. En nuestro ejemplo del tanque de amoniaco, es la capacidad de evitar que una condición de presión excesiva ocasione una ruptura en el tanque.) Cada nivel de integridad de seguridad se define como un rango de reducciones de riesgo arreglado en órdenes de magnitud (esto evita tener que hacer un minucioso trabajo de selección): Nivel de integridad de seguridad Factor de reducción de riesgo objetivo 4 >10,000 a ≤100,000 3 >1,000 a ≤10,000 2 >100 a ≤1,000 1 >10 a ≤100 Adaptado de IEC 61511-1 Tabla 3 NOTA: Las aplicaciones clasificadas como nivel de integridad de seguridad 4 (SIL 4) generalmente no se usan en las industrias de procesos, y las normas advierten que no se debe usar un sistema programable individual para aplicaciones SIL 4 Esto nos permite establecer el nivel de integridad de seguridad requerido en una de dos maneras: 1. Podemos evaluar las consecuencias y la probabilidad de un peligro en términos cualitativos, como lo hicimos en la página anterior de este curso. Eso nos proporciona una amplia idea de la reducción de riesgo requerida. Por ejemplo, una evaluación cualitativa indica que un requerimiento de nivel de integridad de seguridad 2 significa que necesitamos reducir el riesgo en un factor entre 100 y 1000. 2. Podemos calcular con precisión la reducción de riesgo requerida, que nos proporciona el nivel de integridad de seguridad de la función de seguridad en cuestión. Por ejemplo, si nuestros cálculos indican que nuestro factor de reducción de riesgo requerido es 500, entonces sabemos que necesitamos proporcionar un nivel de protección SIL 2. Un beneficio clave de la norma IEC 61511 es que ayuda a los usuarios finales a implementar el nivel de seguridad adecuado al menor costo. La evaluación precisa de los riesgos y la determinación de la asignación SIL adecuada para cada función de seguridad le ayuda a usted a evitar invertir en más – o menos – protección de la que necesita. Capas de protección Entonces, ¿cómo logramos el nivel necesario de reducción de riesgos? Agregando capas de protección. Las normas de seguridad definen una capa de protección como “cualquier mecanismo independiente que reduce el riesgo mediante el control, la prevención o la mitigación”. La suma de las capas de protección proporciona lo que se llama seguridad funcional – la funcionalidad que garantiza que no se tendrá riesgo inaceptable. El control del proceso (para evitar situaciones que pudieran conducir a incidentes) se proporciona generalmente mediante un sistema de control básico del proceso (BPCS). El BPCS es cualquier sistema que responda a señales de entrada para controlar un proceso. En la mayoría de los casos se basa en controlador(es) de lazo, un SCD, un PLC o un sistema de automatización híbrido.
Página 4 de 6 Además, capas de protección independientes para prevención y mitigación podrían incluir las mostradas en este diagrama. El ejemplo del tanque de amoniaco ya tiene un sistema de control básico del proceso y una válvula de alivio instalados. El sistema de control básico del proceso ayuda a prevenir condiciones tales como una presión excesiva en el tanque que pudiera ocasionar una liberación de amoniaco. La válvula de alivio ventila el exceso de vapor de amoniaco a la chimenea/antorcha – evitando una ruptura del tanque y un mayor derrame, pero con el riesgo de exponer al personal de la planta y al público a vapores de amoniaco dañinos. Lo que necesitamos es otra capa de protección, una que evite que la situación alcance un punto donde se necesite la válvula de alivio. Esa capa es un sistema instrumentado de seguridad (SIS) – un término que incluye soluciones que también se pueden llamar sistemas de paro de emergencia, sistemas de paro de seguridad, sistemas de fuego y gas o sistemas de gestión de quemador. Sistemas instrumentados de seguridad El sistema instrumentado de seguridad (SIS) proporciona una capa de protección independiente que está diseñado para llevar al proceso a un estado seguro cuando ocurre una condición peligrosa. Donde se use, es una parte integral de las operaciones de la planta y, para algunas plantas, puede ser un requisito normativo. Mitigar Prevenir Respuesta de emergencia y planta Dique Válvula de alivio, disco de ruptura Sistema instrumentado de seguridad Sistema instrumentado de seguridad Intervención del operador Sistema de control básico del proceso Sistema de fuego y gas Paro de emergencia Capa de respuesta de emergencia Capa de protección pasiva Capa de protección activa Capa de seguridad Capa de seguridad Alarma de nivel de disparo Alarma de proceso Paro del proceso Capa de control del proceso Valor del proceso Capa de control del proceso Comportamiento normal Mitigar Prevenir Respuesta de emergencia y planta Dique Válvula de alivio, disco de ruptura Intervención del operador Sistema de control básico del proceso Capa de respuesta de emergencia Capa de protección pasiva Capa de protección activa Alarma de nivel de disparo Alarma de proceso Paro del proceso Capa de control del proceso Valor del proceso Capa de control del proceso Comportamiento normal
Página 5 de 6 Un sistema instrumentado de seguridad está compuesto de cualquier combinación de sensor(es), solucionador(es) lógicos y elemento(s) final(es). Los tres componentes deben estar presentes – y funcionando adecuadamente – para que el sistema haga su trabajo. A pesar de su similitud estructural con un sistema de control de procesos básico, el sistema instrumentado de seguridad es fundamentalmente diferente a un sistema de control básico del proceso. El sistema de control básico del proceso existe para obtener un producto de calidad al mantener el proceso funcionando sin problemas. El sistema instrumentado de seguridad, por otro lado, existe para supervisar que no haya condiciones del proceso peligrosas y para tomar las medidas adecuadas – generalmente, parando el proceso. El sistema instrumentado de seguridad también está separado del sistema de control básico del proceso. Esta separación refleja no sólo sus diferentes funciones, sino también la importancia de mantener la integridad del sistema instrumentado de seguridad incluso cuando se cambia con frecuencia el sistema de control básico del proceso. Las normas de seguridad permiten que haya comunicaciones controladas cuidadosamente entre los componentes y los sistemas, así que se puede implementar una instalación integrada, pero independiente, del sistema de control básico del proceso y el sistema instrumentado de seguridad. La ventaja PlantWeb Emerson ha extendido las comprobadas innovaciones de su arquitectura digital PlantWeb a los sistemas instrumentados de seguridad. El sistema instrumentado de seguridad inteligente de Emerson es el primero en proporcionar un enfoque integrado para lazos de seguridad completos – desde sensor a solucionador lógico a elemento final de control – para que usted pueda evitar los riesgos y los dolores de cabeza por combinar los componentes independientes. También es el primero en usar la inteligencia digital para permitir más pruebas de lazo de seguridad automatizadas, más diagnósticos de equipo y otras características que incrementan la disponibilidad del sistema a la vez que reducen los costos de operación y facilitan el cumplimiento normativo. El diseño inteligente también permite niveles adecuados de integración con el sistema de automatización digital DeltaV de Emerson cuando se usa como el sistema de control básico del proceso – por ejemplo, usando la misma interfaz de operador y las mismas herramientas de configuración – a la vez que mantiene la separación requerida por las normas de seguridad. Poniendo todo junto Solucionador lógico Sensor Elemento final
Página 6 de 6 Veamos cómo todo lo que hemos aprendido hasta ahora se aplica al ejemplo del tanque de amoniaco. Si el tanque de amoniaco tiene una condición de presión excesiva (un error funcional), se satisfará la seguridad funcional si los sistemas de prevención o protección reducen la presión del tanque a un valor que esté dentro de los límites operativos establecidos de seguridad antes de que se necesiten los sistemas de mitigación. Anteriormente, en este curso, determinamos que el objetivo de seguridad funcional para el sistema instrumentado de seguridad del tanque de amoniaco es SIL 2. Esto significa que el nivel objetivo de la reducción del riesgo debe estar entre 100 y 1000. Consideraremos que el sistema de control básico del proceso agrega algún nivel de reducción del riesgo, aunque la norma IEC 61511 nos dice que el nivel máximo de reducción del riesgo de un sistema de control no relacionado con la seguridad es un factor de 10. Aunque no queremos incurrir en el gasto de exagerar el diseño del sistema instrumentado de seguridad, también queremos asegurarnos de tener la protección adecuada. Entonces, seremos un poco conservadores en nuestras suposiciones: 1. Factor de reducción de riesgo total requerido (RRF) = 1,000 2. Factor de reducción de riesgo asignado al sistema de control básico del proceso = 2 3. La válvula de alivio no será considerada, porque si se activa existe un riesgo de que los estudiantes de la escuela cercana estén expuestos a los vapores de amoniaco que se liberan. El factor de reducción de riesgo total es el producto de los factores de reducción de riesgo de todas las capas de protección independientes. En nuestro ejemplo, el factor de reducción de riesgo requerido del nuevo sistema instrumentado de seguridad es 1,000 / 2 = 500, que corresponde a una clasificación SIL 2 (entre 100 y 1,000). Si se reduce el riesgo en menos de este valor, se tendrá una probabilidad de peligro intolerablemente alta. Pero si se implementa una función de seguridad mayor (por ejemplo, una que proporcione un nivel de protección SIL 3), se agregan costos innecesarios para el diseño, compra, instalación, pruebas y mantenimiento del sistema instrumentado de seguridad. Sumario En este curso usted ha aprendido que: • La reducción del riesgo necesaria se puede determinar usando métodos cuantitativos o cualitativos. • Los niveles de integridad de seguridad (SIL) son representaciones estadísticas de la reducción del riesgo necesarias para alcanzar el riesgo tolerable. • Las capas de protección independientes son los mecanismos que controlan, previenen o mitigan una condición peligrosa. • Un sistema instrumentado de seguridad (SIS) usa sensores, solucionadores lógicos y elementos finales de control para supervisar que no haya condiciones peligrosas en el proceso, y para llevar al proceso a un estado seguro si es necesario.
Página 1 de 9 SIS 103 Normas de seguridad 15 minutos En este curso: O Generalidades 1 Un nuevo enfoque 2 De IEC 61508 surgió IEC 61511 3 ¿Qué hay de S84? 4 Modelos de ciclo de vida 5 Aplicación del modelo en 61511 6 Recursos para cumplimiento 7 Beneficios del cumplimiento 8 Sumario Q Examen © 2005 Emerson Process Management. Todos los derechos reservados. Generalidades Si su planta o proceso todavía no está usando normas de seguridad tales como IEC 61508, IEC 61511 y/o ANSI/ISA S84.00.01-2004, lo más probable es que lo hará en un futuro cercano. Aunque al principio usted piense que son fuentes de papeleo, molestias y dolores de cabeza, estas normas juegan un papel vital para hacer que su planta sea segura – y mantenerla así. Su disciplinado enfoque también puede ayudar a garantizar que su sistema de control del proceso, sus procedimientos operativos y de mantenimiento y sus sistemas de seguridad estén en armonía de tal manera que se logre un mejor rendimiento operativo. Este curso introduce las normas de seguridad más relevantes – IEC 61508, IEC 61511 y ANSI/ISA S84.00.01- 2004 – y explica por qué cumplir con ellas tiene sentido desde un punto de vista de negocios. ¿Qué significan todos esos acrónimos? IEC – Comisión Electrotécnica Internacional <www.iec.ch> ISA – Sociedad de Instrumentación, Sistemas y Automatización <www.isa.org> ANSI – Instituto Nacional Americano de Normas <www.ansi.org> Al final del curso, usted encontrará un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, preste especial atención a lo siguiente: • Cómo han cambiado las normas de seguridad. • Qué norma es su mejor elección para nuevas aplicaciones de seguridad • Los beneficios de modelos de ciclo de vida basados en normas • Qué clases de recursos se requieren para el cumplimiento • Los beneficios clave del cumplimiento ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Un nuevo enfoque
Página 2 de 9 En el pasado, las normas de seguridad se desarrollaban para una aplicación, industria o país específicos. Por ejemplo, ANSI P1.1-1969 es una norma de concenso en la industria emitida por el Instituto Nacional Americano de Estándares) que define los requisitos de seguridad para las fábricas que producen pulpa, papel y cartón. El principal problema con este enfoque es que las plantas, e incluso industrias completas, se han encontrado tratando de cumplir con múltiples normas de seguridad que se traslapan, a menudo desarrolladas usando filosofías de diseño y arquitectura completamente diferentes. Agregue las diferencias de normas nacionales o regionales; con todo esto es casi imposible estar seguro de que se ha logrado el cumplimiento. Las normas de seguridad más recientes, sin embargo, han sido desarrolladas usando un enfoque que se concentra en la reducción del riesgo y en el establecimiento de un grado definido de excelencia operacional en cada etapa del ciclo de vida del proyecto de seguridad. Este enfoque de ciclo de vida basado en el rendimiento produce una norma que se acopla más fácilmente con otras normas, logrando así que sean más atractivas y aceptadas. También es más fácil producir resultados de alta calidad al menor costo posible. Para las industrias de procesos, las normas de seguridad relevantes son IEC 61508, IEC 61511 y ANSI/ISA S84.00.01-2004 (S84). Cada una de estas normas define qué se requiere para lograr el cumplimiento normativo, pero en el caso de IEC 61511 y S84, éstas dejan los detalles de cómo lograr el cumplimiento a los propietarios y operadores de las plantas. De IEC 61508 surgió IEC 61511 Entonces, ¿por qué la IEC tiene dos normas de seguridad? IEC 61508 (Partes 1 – 7), titulada Functional safety of programmable electronic safety-related systems (Seguridad funcional de sistemas electrónicos programables relacionados con la seguridad), es una norma de seguridad completa, global y funcional que está basada en rendimiento y aplica a los fabricantes e implementadores de sistemas de seguridad funcionales en una amplia gama de industrias. En Europa, las siete partes de IEC 61508 se publicaron como EN 61508, y todas las normas nacionales CENELEC o CEN en conflicto fueron retiradas subsecuentemente. IEC 61508 fue usada por algunas plantas de la industria de procesos para implementar sistemas instrumentados de seguridad (SIS) que cumplieran con los requisitos normativos. Sin embargo, los que adoptaron la industria de procesos tempranamente notaron que la norma era incómoda y no era clara para la interpretación sobre cómo lograr el cumplimiento en estas industrias. Después de una cuidadosa consideración, el comité de normas IEC extrajo las secciones relevantes de IEC 61508, las armonizó y las volvió a redactar para formar la norma IEC 61511 específicamente para industrias de procesos. El resultado es que IEC 61511 proporciona guía de las industrias de procesos y ejemplos de cómo se implementa la norma – a la vez que sigue garantizando que se logre el cumplimiento dentro del marco establecido en IEC 61508. Este enfoque hizo que la norma IEC 61511, Functional safety: Safety instrumented systems for the process industry sector (Seguridad funcional: Sistemas instrumentados de seguridad para el sector de las industrias de procesos), sea la norma de seguridad que elijen las industrias de procesos – como se hace evidente mediante el creciente número de referencias a ella por parte de las agencias de seguridad en China, Irlanda, Italia, India, Noruega, Reino Unido y los Estados Unidos; el número de ponencias que presentan los usuarios finales en conferencias y simposios; y las referencias en los sitios web de los fabricantes de sistemas de control.
Página 3 de 9 Aunque las plantas todavía tienen la opción de aplicar la norma IEC 61508, su uso principal es por parte de los fabricantes de instrumentación y de sistemas de control que desarrollan y venden dispositivos SIS certificados para usarlos en las aplicaciones que cumplen con IEC 61511. ¿Qué hay de S84? Muchas normas nacionales han sido reemplazadas por IEC 61508 y 61511. Un ejemplo es la norma de seguridad ANSI/ISA S84.01 que se usó ampliamente en los Estados Unidos. Hace varios años, después de un desconcertante número de accidentes, los expertos en seguridad en la industria de procesos comenzaron una profunda revisión de las normas de seguridad existentes. Incidentes que condujeron a las normas de seguridad mejoradas 1968 Refinería en Pernis, Países Bajos 2 muertos, 85 lesionados 1974 Flixborough, Reino Unido 28 muertos, cientos de lesionados 1976 Seveso, Italia 700 lesionados 1984 Bhopal, India 2,500 muertos, 100,000 lesionados 1998 Piper Alpha, Mar del Norte 165 muertos, 61 lesionados Entre sus conclusiones estaba la de que las normas existentes eran demasiado específicas a la industria y limitaban la habilidad de los expertos en seguridad de compartir las mejores prácticas. A partir de sus descubrimientos se formó el comité ISA SP84. Casi inmediatamente, los miembros del comité estuvieron de acuerdo en que un enfoque de normas más adecuado sería usar un modelo de ciclo de vida basado en rendimiento. El resultado de su trabajo fue ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems for the Process Industries (Aplicación de sistemas instrumentados de seguridad para las industrias de procesos) (S84). Sin embargo, más recientemente, la norma S84 ha sido armonizada con IEC 61511, con una excepción: ANSI/ISA S84.00.01-2004 incluye una cláusula tipo “abuelo” que permite que las instalaciones que actualmente usan la versión 1996 de S84 continúen haciéndolo – siempre y cuando se determine que el equipo de seguridad se diseñe, se mantenga, se inspeccione, se pruebe y se opere en una manera segura. Por lo tanto, a menos que ya esté usando la norma S84, su mejor elección sería dejar la antigua norma ANSI/ISA y adoptar IEC 61511 – que es lo mismo que S84-2004.
Página 4 de 9 Modelos de ciclo de vida Un modelo de ciclo de vida proporciona una estructura para una serie de procesos para crear o actualizar un producto o un servicio. Los modelos de ciclo de vida pueden tomar muchas formas, pero cada una proporciona una estructura para enfocarse en las incontables tareas involucradas en la creación y gestión de un complejo producto o servicio. Un importante beneficio de una norma basada en ciclo de vida es la facilidad que proporciona para usar e integrar otras normas o prácticas basadas en ciclo de vida. Como se muestra en la tabla, tales modelos son usados o recomendados por un número de agencias regulatorias y otros organismos. Organizaciones y agencias que recomiendan el uso de modelos de ciclo de vida Organización Internacional de Normas (ISO) Calidad del producto y del servicio Oficina Ejecutiva de Salud y Seguridad del Reino Unido Actividades relacionadas con la seguridad Administración de Drogas y Alimentos de los Estados Unidos Producción y aprobación de nuevas drogas Instituto de Ingeniería de Software Software de alta disponibilidad Administración de Seguridad y Salud Laboral (OSHA) de los Estados Unidos Seguridad de los trabajadores Agencia de Protección Ambiental de los Estados Unidos Protección ambiental Por ejemplo, el Instituto de Ingeniería de Software <www.sei.cmu.edu> ha desarrollado un número de modelos de ciclo de vida de software, varios de los cuales se usan para crear software “que sobreviva” – es decir, software de aplicación crítico a la misión que requiera seguridad, tolerancia a fallas, seguridad, fiabilidad, reuso, rendimiento, verificación y pruebas. Similarmente, las buenas prácticas de fabricación basadas en ciclo de vida son integrales a las industrias donde la calidad del producto es esencial, como las reguladas por la Administración de Drogas y Alimentos de los Estados Unidos. Además de facilitar la integración de tales normas, la disciplina proporcionada por el enfoque de ciclo de vida ayuda a producir resultados de alta calidad al menor costo posible. Aplicación del modelo en 61511 IEC 61511 permite personalizar el modelo de ciclo de vida para ajustarse a sus prácticas actuales – siempre y cuando se cumpla con los requisitos normativos. Un enfoque usa cinco etapas principales de ciclo de vida para atender estos requisitos, además de un proceso de verificación y documentación a lo largo del ciclo:
Página 5 de 9 Etapa de ciclo de vida Requisitos de IEC 61511 1. Ingeniería básica del proyecto y diseño conceptual o Evaluación de peligro y riesgo (Cláusula 8) o Asignación de funciones de seguridad a capas de protección (Cláusula 9) o Especificación de requisitos de seguridad para sistemas instrumentados de seguridad (Cláusulas 10 y 11) 2. Diseño e ingeniería detallados o Diseño e ingeniería de sistemas instrumentados de seguridad (Cláusulas 11 y 12.4) o Construcción del sistema instrumentado de seguridad, integración y pruebas FAT (Cláusula 13) 3. Instalación y puesta en marcha o Instalación y comisionamiento de sistemas instrumentados de seguridad (Cláusula 14) o Validación de seguridad de sistemas instrumentados de seguridad (Cláusulas 12.3, 12.7 y 15) 4. Provisión de seguridad funcional o Operaciones y mantenimiento de sistemas instrumentados de seguridad (Cláusula 16) 5. Modificación y actualización o Modificación de sistemas instrumentados de seguridad (Cláusula 17) - Verificación y documentación (incluidas en cada etapa) o Verificación (Cláusulas 7, 12.4 y 12.7) o Documentación (Cláusula 19) Juntas, estas actividades permiten cumplir con el requisito central de la norma IEC 61511: Gestión de seguridad funcional o Gestión de seguridad funcional y evaluación y auditoría de la seguridad funcional (Cláusula 5) o Estructura de ciclo de vida de seguridad (Cláusula 6.2)
Página 6 de 9 Ingeniería básica del proyecto y diseño conceptual • Crear diseño conceptual del proceso • Identificar peligros potenciales Diseño detallado • Diseño detallado de - instalación de dispositivos de campo del SIS - hardware de solucionadores lógicos del Instalación y puesta en marcha • Instalar los dispositivos de campo del SIS • Instalar los solucionadores lógicos del SIS • Integrar el SIS en el Modificación y actualización Diseño detallado y construcción Instalación y Puesta en marcha Provisión de seguridad funcional Gestión de seguridad funcional Diseño conceptual del proceso e ingeniería básica del proyecto Gestión de seguridad funcional Instalación y Puesta en marcha Modificación y actualización Diseño detallado y construcción Provisión de seguridad funcional Diseño conceptual del proceso e ingeniería básica del proyecto
Página 7 de 9 • Asignar requisitos de seguridad • Decidir si se requiere un sistema instrumentado de seguridad (SIS) • Identificar niveles de riesgo tolerable y seleccionar niveles de integridad de seguridad objetivos • Crear una especificación de requisitos de seguridad • Seleccionar la tecnología, arquitectura y filosofía de pruebas de aceptación • Calcular el nivel de integridad de seguridad (SIL) para cada función de seguridad SIS - Software del SIS • Verificación del diseño • Construcción y verificación del hardware del solucionador lógico • Configuración del software del SIS y pruebas de la función de seguridad • Integración del solucionador lógico del SIS • Verificación de la integración (FAT) • Crear la documentación de la instalación y del comisionamiento • Crear la documentación de las operaciones y del mantenimiento sistema de control básico del proceso según se requiera • Verificar la instalación • Comisionar el SIS • Validar el SIS Provisión de seguridad funcional • Operar y dar mantenimiento al SIS de acuerdo con los procedimientos documentados • Realizar las pruebas de aceptación como se define en el diseño para verificar la operación del SIS Modificación y actualización • Se evalúa el alcance de la modificación • Si el cambio no afecta el caso de seguridad, entonces se hace el cambio, y se completa toda la verificación requerida y se cambian los procedimientos de gestión • Si el cambio es significativo, entonces se repite el ciclo de vida de seguridad Recursos para cumplimiento Obviamente, decir que su compañía está comprometida a proporcionar un entorno de trabajo seguro no es suficiente. La gerencia tiene que proporcionar los recursos necesarios para cumplir ese compromiso – incluyendo los fondos adecuados, el personal y la capacitación. Eso es parte de la construcción del entorno y de la cultura que deben existir antes de que se pueda lograr el cumplimiento con IEC 61511. La norma IEC 61511 requiere que haya personas con conocimiento y experiencia demostrados sobre ingeniería de seguridad adecuadas para el proceso y para las tecnologías de SIS que se estén usando. La norma también dice que la gente asignada para la ingeniería, diseño e implementación de los sistemas de seguridad deben tener o capacitación adecuada, o habilidades de gerencia y liderazgo adecuadas a su papel en las actividades de ciclo de vida de seguridad, y o conocimiento de los requerimientos regulatorios legales y de seguridad aplicables. Entonces, esto se convierte en el trabajo de estos profesionales de seguridad establecer evidencia documentada de que se ha definido, alcanzado y mantenido adecuadamente el cumplimiento con la norma de seguridad IEC.
Página 8 de 9 Si usted no tiene todos los recursos correctos internamente, los proveedores y consultores conocedores le pueden ayudar. IEC 61511 es una norma internacional, su modelo de ciclo de vida es bien comprendido, y se aplica a un gran número de compañías. A medida que el número de compañías que lo usa aumenta, el número de recursos confiables también aumentará – haciendo que sea más fácil encontrar ayuda calificada. La ventaja PlantWeb Como proveedor del primer sistema instrumentado de seguridad inteligente en el ramo, Emerson también ofrece una amplia gama de servicios para ayudarle a garantizar que su sistema de seguridad proporcione la protección que necesita ... y que continúe proporcionándola. Estos servicios – incluyendo análisis y diseño, implementación, mantenimiento y modificación – abarcan el ciclo de vida completo de su sistema, con cumplimiento certificado por TUV con las mejores prácticas de IEC 61511. Si usted quiere, también podemos capacitar a su personal para que aproveche al máximo su sistema instrumentado de seguridad, o podemos proporcionar acceso a los ingenieros de seguridad de Emerson en campo en su planta para soporte y mantenimiento. Beneficios del cumplimiento Dependiendo de dónde esté ubicado, es posible que la conformidad con IEC 61511 ó con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir tiene sentido. Por algo, el comité que desarrolló la norma IEC 61511 incluyó expertos de seguridad reconocidos mundialmente que combinaron su conocimiento y experiencia para crear la norma. El resultado es un riguroso conjunto de “mejores prácticas” para diseñar, implementar, verificar, operar y mantener sistemas instrumentados de seguridad robustos y fiables. En breve, es una buena manera de ayudar a garantizar la seguridad de su planta y de su comunidad, a la vez que se minimizan los costos de operación. Pero incluso cuando sí ocurren incidentes de seguridad, el hecho de haber cumplido con la norma puede ser útil. Las investigaciones posteriores a un accidente o liberación de material al medio ambiente a menudo involucran agencias gubernamentales que tienen la autoridad de imponer multas, enviar a la gente a la cárcel, clausurar un establecimiento – o las tres cosas. Entre las preguntas que ellos pueden hacer, se encuentran las siguientes: o ¿Ha ocurrido esta clase de incidente en esta compañía o establecimiento anteriormente? o ¿Qué procesos proactivos se usaron para identificar los riesgos? o ¿Qué métodos se usaron para cuantificar los riesgos? o ¿Qué acciones se tomaron para mitigar los riesgos? o ¿Qué proceso se siguió para garantizar que se desplegara la mitigación adecuadamente? o ¿Qué procesos están implementados para garantizar que la solución de mitigación continúe funcionando como se espera? Las respuestas a esas clases de preguntas son exactamente lo que se produce usando la norma IEC 61511. Es posible que usted se enfrente todavía a una dura investigación, pero si puede demostrar que se definió, se logró y se mantuvo adecuadamente el cumplimiento con la norma de seguridad de IEC, usted también reducirá el riesgo de que la agencia de investigación envíe a alguien a prisión o de que clausure la planta. Agencies que respaldan IEC 61511 incluyen • Factory Mutual Insurance Company www.fmglobal.com • Administración de Seguridad y Salud Laboral (OSHA) de los Estados Unidos www.osha.gov • Agencia de Protección Ambiental (EPA) de los Estados Unidos www.epa.gov • Automation, Software and Information Technology ASI of TÜV Industrial Services GmbH www.tuvasi.com • Oficina Ejecutiva de Salud y Seguridad (HSE) del Reino Unido www.hse.gov.uk
Página 9 de 9 Sumario En este curso usted ha aprendido que: o Para las industrias de procesos, las normas de seguridad claves son IEC 61508, IEC 61511 y ANSI/ISA S84.00.01-2004. o Actualmente, en las industrias de procesos, la norma IEC 61511 ó la nueva S84 es la mejor elección para que los usuarios finales implementen un proyecto de seguridad u operen y mantengan un sistema de seguridad. o Las tres normas usan un modelo de ciclo de vida basado en el rendimiento, lo que hace más fácil integrarlas con otras normas – y producir resultados de alta calidad al menor costo posible. o IEC 61511 permite alguna libertad de personalizar el modelo de ciclo de vida para satisfacer sus necesidades, siempre y cuando usted cumpla con los requisitos de la norma. Hacerlo requiere que se proporcionen los fondos adecuados, el personal y la capacitación. o Además de ayudar a mantener la seguridad de su planta, personal y comunidad, el cumplimiento con las normas puede hacer más fácil lidiar con las investigaciones después de un incidente de seguridad.
SIS 201 Diseño físico 15 minutos O Generalidades 1 Componentes y subsistemas esenciales 2 Componentes y subsistemas no esenciales 3 ¿Certificado o comprobado en uso? - Certificado - Comprobado en uso 4 Probabilidad de falla cuando se necesita el sistema 5 Pruebas de aceptación 6 Diagnósticos 7 Alertas y alarmas inteligentes 8 Sumario Generalidades Así como un sistema de control básico de proceso (BPCS) es más que un controlador, un sistema instrumentado de seguridad (SIS) es más que un PLC de seguridad. Sus componentes físicos principales son sensores, solucionadores lógicos y elementos finales de control. En este curso se describe por qué estos componentes son considerados esenciales y otros no, así como la manera en que la diferencia puede afectar a sus decisiones de diseño. También veremos dos maneras de establecer que los componentes físicos son adecuados para aplicaciones de seguridad, el papel que juegan las pruebas para garantizar que los componentes funcionarán cuando se necesite, y cómo informar a las personas adecuadas cuando hay una indicación de que los componentes no están funcionando. A lo largo del curso, estaremos viendo maneras de garantizar que su sistema instrumentado de seguridad cumpla con los requisitos sin que cueste más de lo necesario. Al final del curso, usted puede usar el examen para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Preste especial atención a lo siguiente: • Cómo se puede ahorrar tiempo y dinero al distinguir entre los componentes esenciales y los no esenciales. • Qué se requiere para usar dispositivos de seguridad no certificados. • Cómo afecta la probabilidad de falla en demanda (PFD, probabilidad de que el sistema falle cuando se le necesita) a la selección de los componentes • Efectos potenciales de diferentes frecuencias de pruebas. ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación para ir al primer tema.
Componentes y subsistemas esenciales A menudo, cuando se diseña y se especifica un sistema de control básico de sistema (BPCS), se tiende a comprar tanta funcionalidad y capacidad – las características atractivas – para el BPCS como lo permite el presupuesto. Sin embargo, cuando se diseña y se especifica un sistema instrumentado de seguridad (SIS) no se habla tanto sobre las características atractivas que sobre los componentes y subsistemas esenciales y no esenciales. Comprender la diferencia le ayuda a diseñar un sistema con el nivel de integridad de seguridad (SIL) correcto – sin exagerar el diseño de la solución. Los elementos esenciales son los componentes SIS y los elementos asociados necesarios para llevar a cabo la función instrumentada de seguridad – incluyendo sensores, solucionadores lógicos, elementos finales de control, fuentes de alimentación y módulos de E/S. Estos son los elementos que deben cumplir con los requisitos definidos de nivel de integridad de seguridad (SIL). Componentes esenciales – en este ejemplo, los que se encuentran dentro del área amarilla – son los sensores, solucionadores lógicos, elementos finales de control y otro equipo necesario para llevar a cabo la función instrumentada de seguridad. Estación de ingeniería Estación de operador Solucionador lógico Sistema instrumentado de seguridad Sensor Sensor Válvula
Componentes y subsistemas no esenciales Como acabamos de aprender, los componentes y subsistemas SIS esenciales son los necesarios para llevar a cabo la función instrumentada de seguridad (SIF). Los componentes no esenciales (conocidos también como “no interferentes”) proporcionan soporte para diseñar y dar mantenimiento al sistema instrumentado de seguridad, pero su presencia o ausencia no interfiere con el funcionamiento del sistema instrumentado de seguridad. Los ejemplos incluyen estaciones de ingeniería, multiplexores HART, calibradores portátiles y estaciones de mantenimiento. Aunque tales componentes pueden soportar la función de seguridad, no la ejecutan. Como resultado, no tienen que cumplir con los requisitos de nivel de integridad de seguridad (SIL) – siempre y cuando usted pueda demostrar que éstos no introducir fallas peligrosas en el sistema instrumentado de seguridad. Los componentes no esenciales – como los que se encuentran fuera del área amarilla en este diagrama – no tienen que cumplir con los requisitos de nivel de integridad de seguridad (SIL). En la mayoría de los casos, tal como en una estación de ingeniería, es obvio que el componente o subsistema no es esencial. Otros pueden ser menos obvios. Vea otra vez la ilustración anterior. En la práctica, el multiplexor HART incluye un panel de terminales de E/S donde se usan resistencias para extraer la información digital de la señal del sensor de 4-20 mA. Debido a que la señal del sensor no pasa a través de la electrónica del multiplexor para llegar al solucionador lógico, la electrónica del multiplexor no se considera como parte del sistema instrumentado de seguridad, y por lo tanto no tiene que cumplir con los requisitos de nivel de integridad de seguridad. Una falla en las resistencias podría afectar la seguridad, entonces éstas deben ser incluidas en los cálculos de nivel de integridad de seguridad. Usted puede usar el siguiente diagrama para ayudar a determinar si un componente o subsistema es esencial o no. Haga clic en la imagen para ampliarla. Estación de ingeniería Estación de operador Solucionador lógico Sistema instrumentado de seguridad Sensor Sensor Válvula Estación de mantenimiento Multiplexor
¿Certificado o comprobado en uso? Las normas de sistemas de seguridad IEC y ANSI/ISA le proporcionan dos opciones cuando selecciona dispositivos de sistema de seguridad: • Usar dispositivos que han sido certificados independientemente como conformes con las normas, o • Producir documentación histórica que demuestre que un dispositivo no certificado puede ser usado en un sistema instrumentado de seguridad. Esta opción se llama comúnmente “uso anterior” o “comprobado en uso”. Veamos cada una de estas opciones con más detalle. ¿Es esto esencial? ¿Puede su falla afectar la seguridad o la disponibilidad? ¿Puedo tolerar el efecto en el valor de SIL? Ejemplo: estación Ejemplo: resistencias en el multiplexor HART Ejemplo: - Solucionador lógico - Válvula - Sensor - Fuentes de alimentación Ignorar Corregir la práctica operacional o rediseñar el sistema instrumentado de seguridad Incluir en el nivel de integridad de seguridad (SIL) No No No Sí Sí Sí
¿Certificado o comprobado en uso? Certificado Certificado. Para lograr el estatus certificado, el fabricante del dispositivo lo envía para ser sometido a un amplio análisis por parte de un tercero para verificar que cumpla con IEC 61508. Estos terceros se conocen como organismos certificadores notificados. La evaluación incluye pruebas y análisis del hardware, software y procesos de ingeniería y fabricación del dispositivo, y busca establecer o cómo el dispositivo reacciona a una amplia gama de condiciones de falla potenciales o si el dispositivo produce errores bajo esas condiciones o si esos errores se pueden detectar en forma rutinaria o si los errores son seguros o no seguros Los dispositivos certificados siempre incluyen un Manual de seguridad que informa al usuario final cómo instalar, configurar y operar de manera segura el dispositivo certificado. El manual de seguridad también identifica las limitaciones de la funcionalidad del dispositivo – en otras palabras, qué cosa no hará. (Por esa razón, un pequeño manual puede ser una indicación de un buen dispositivo.) Si usted no tiene un historial de uso anterior para el dispositivo funcionando bajo condiciones similares, el use de dispositivos SIS certificados es a menudo la solución con mejor relación costo-beneficio. ¿Certificado o comprobado en uso? Comprobado en uso Comprobado en uso. Para lograr la aprobación de comprobado en uso, el fabricante del dispositivo debe comprobar que tiene un sistema de calidad o de gestión de cambios para el dispositivo específico. Luego, usted tiene que documentar que tiene el mismo dispositivo funcionando bajo condiciones similares a las del sistema instrumentado de seguridad propuesto, tal como con un sistema de control básico del proceso (BPCS). Además, usted debe documentar el historial de uso y fallas del dispositivo para determinar el tiempo medio entre fallas (TMEF o MTBF –por sus siglas en inglés). Esta documentación debe soportar • Su declaración de que el dispositivo es capaz de cumplir con los requisitos SIL definidos, y • Los números de probabilidad de falla en demanda (PFD) – descritos en el siguiente tema – que usted usa para calcular el nivel de integridad de seguridad (SIL) del lazo. El uso anterior documenta el historial del dispositivo bajo condiciones de uso reales. Estas condiciones se deben extender más allá del dispositivo para incluir las conexiones del proceso, los elementos primarios y las prácticas de instalación. Para las plantas que tienen estos datos disponibles, el uso anterior puede a menudo cumplir con los requisitos de seguridad necesarios con una mejor relación costo-beneficio. Como regla del pulgar, los dispositivos más complejos deben ser certificados. Si un dispositivo es programable, entonces es muy probable que sea complejo. La ventaja PlantWeb La ventaja PlantWeb El controlador de válvula digital Fisher FIELDVUE DVC6000 de Emerson ha sido certificado por TÜV para usarse en aplicaciones SIL 3, y los transmisores de presión/presión diferencial 3051S y de temperatura 3144P de Rosemount han sido certificados por TÜV para usarse en aplicaciones SIL 2 (aplicaciones SIL 3 cuando se usan en forma redundante).
La colección y mantenimiento de datos de uso anterior puede ser desafiante y costoso. Eso es porque Los fabricantes cambian los diseños del producto, que puede impedir que usted confíe en la experiencia de usar un diseño anterior. Tradicionalmente, los proveedores no han dado a los usuarios manuales de seguridad que muestren cómo usar adecuadamente los productos en aplicaciones de seguridad y cómo hacerles pruebas de aceptación. Es posible que haya pocos o nada de datos de falla de seguridad disponibles sobre el producto. Para muchos dispositivos de Emerson, sin embargo, Emerson puede ayudar a los usuarios a colectar y gestionar los datos que necesitan para construir su caso de uso anterior, incluyendo Efectos de modo de falla y análisis de diagnóstico (FMEDA) para mostrar los modos de falla (peligroso o seguro) y las tasas de falla Cálculos de beta para proporcionar probabilidades de falla de causa común Manuales de seguridad para proporcionar instrucciones sobre el uso adecuado y procedimientos de pruebas Prueba de la gestión de cambios Prueba de horas de operación Seguimiento en línea de los cambios de hardware y software Notificaciones de cambio de hardware y software Probabilidad de falla cuando se necesita el sistema Un sistema instrumentado de seguridad no puede ejecutar su función a menos que cada uno de sus componentes funcione adecuadamente cuando se le necesita. Pero la realidad es que todo el equipo tiene algún riesgo de falla. (Si no lo tuviera, usted no necesitaría un sistema instrumentado de seguridad, ¿o sí?) Es por eso que cuando se diseña un sistema, es esencial que se comprenda la tasa de falla de cada uno de los componentes, o probabilidad promedio de falla en demanda (PFDprom), para proporcionar un nivel dado de reducción de riesgo. Usted quiere componentes con una probabilidad de falla en demanda (PFD) que sea suficientemente baja para proporcionar el factor de reducción de riesgo correcto (FRR o RRF), pero no tan baja que usted termine con un diseño exagerado (y demasiado costoso). Consideremos el ejemplo del tanque de amoniaco del curso SIS 101. Suponga que instalamos un sistema diseñado para evitar una ruptura en el tanque, y 1 vez de cada 10 no funciona cuando se necesita (PFD=1/10 ó 0.1). Sin un sistema, el tanque habría sufrido una ruptura 10 veces; con el sistema instalado, sufrirá una ruptura sólo una vez. Por lo tanto, hemos reducido el riesgo en un factor de 10 – y descubrimos que PFD=1/FRR. Como usted vió en el curso SIS 101, cada nivel de integridad de seguridad (SIL) describe un rango de factores de reducción de riesgo objetivo. Ahora podemos agregar una tercera columna a la tabla que presentamos en ese curso:
Nivel de integridad de seguridad Factor de reducción de riesgo objetivo Probabilidad promedio de falla en demanda (PFDprom) objetivo 4 >10,000 a ≤100,000 1/10,000 a 1/100,000 3 >1,000 a ≤10,000 1/1000 a 1/10,000 2 >100 a ≤1,000 1/100 a 1/1000 1 >10 a ≤100 1/10 a 1/100 Adaptado de IEC 61511-1 Tabla 3 Al conocer el valor de PFD de un dispositivo usted podrá decidir si debe incluirlo en su diseño. ¿Pero qué sucede una vez que el sistema instrumentado de seguridad es operativo? Pruebas de aceptación Los componentes esenciales de un sistema instrumentado de seguridad deben ser probados periódicamente para comprobar que funcionarán cuando se necesite – o para descubrir problemas y restaurar el sistema a su funcionalidad de seguridad diseñada. La frecuencia con la que se deben realizar estas pruebas depende de la probabilidad promedio de falla en demanda (PFDprom) del componente. Entre más frecuentes sean las pruebas, mayor es la seguridad de que el componente funciona bien – lo que significa que la PFDprom es menor y por lo tanto el factor de reducción de riesgo (FRR) es mayor. La ejecución de una prueba de aceptación de todo el sistema generalmente es posible sólo cuando el proceso está parado. Aunque las pruebas completas del sistema se necesitan periódicamente, usted puede reducir la frecuencia de los paros requeridos conduciendo pruebas provisionales de lo que típicamente se considera mayores factores contribuyentes a la PFDprom: los elementos finales de control. Por lo tanto, para mantener el sistema instrumentado de seguridad en cumplimiento se requiere escoger entre tres opciones: 1. Diseñar el sistema instrumentado de seguridad de manera que no necesite pruebas durante largos períodos entre paros de la planta. Con plantas operando dos, tres o más años entre paros programados, ésta puede ser una opción muy costosa – y podría ser imposible lograrla en la práctica. 2. Instalar líneas de desviación alrededor de cada elemento final de control para facilitar la prueba de aceptación completa mientras el proceso permanece en operación. Ésta también es una opción costosa, y deja al proceso desprotegido durante los períodos de prueba. También existe el riesgo de que se dejen las líneas de desviación abiertas inadvertidamente después de que se completa la prueba. 3. Usar pruebas de válvula de carrera parcial manuales o automatizadas (que no requieren un paro de proceso) para reducir la PFDprom. Los análisis de fiabilidad generalmente muestran que los problemas relacionados con las válvulas, tales como un vástago o tapón atascados, son los mayores contribuyentes a la PFDprom del sistema instrumentado de seguridad total. Una prueba de carrera parcial puede detectar estos problemas – o comprobar que no existen. Los siguientes tres diagramas ilustran cómo las pruebas más frecuentes pueden reducir la PFDprom o extender los intervalos entre pruebas de aceptación completas.
La probabilidad de falla en demanda (PFD) se incrementa en el tiempo pero regresa a su nivel original cuando una prueba de aceptación completa muestra que todo funciona correctamente – en este caso, durante un paro cada tres años. La ejecución de la misma prueba dos veces a menudo reduce la PFD promedio. Como resultado, usted puede usar el mismo equipo para cumplir con un requisito SIL mayor, o puede usar equipo menos costoso para el mismo SIL. Otro enfoque es ejecutar pruebas de aceptación completas sólo la mitad de la frecuencia, pero usar frecuentes pruebas de carrera parcial para mantener la misma PFD promedio. Prueba de aceptación total Prueba de aceptación total Prueba de aceptación total Años PFD PFDprom Prueba de aceptación total Prueba de aceptación total Años PFD PFDprom PFDprom Prueba de aceptación total Prueba de aceptación total Prueba de aceptación total Prueba de aceptación total Años PFD PFDprom Pruebas carrera parcial Prueba de aceptación total Pruebas carrera parcial
Los solucionadores lógicos y controladores de válvula SIS inteligentes pueden trabajar juntos para automatizar las pruebas de carrera parcial, haciendo que sea más fácil y más económico realizar estas pruebas más a menudo. Estas pruebas automatizadas también evitan los riesgos de seguridad asociados cuando se envía a alguien al campo para ejecutar la prueba, y el riesgo de que la válvula de paro de emergencia no esté disponible si se necesita durante la prueba. Los solucionadores lógicos y controladores de válvula inteligentes también facilita la detección de problemas potenciales al comparar los resultados de la prueba actual con respecto a los de la prueba anterior o cuando se instaló la válvula. Para aprender más de este tema, vea el informe de Exida "The effects of partial-stroke testing on SIL levels" (Los efectos de las pruebas de carrera parcial sobre los niveles SIL) <http://www.exida.com/articles/Partial%20Valve%20Stroke%20Testing.pdf > Diagnósticos Otra manera de incrementar la fiabilidad de su sistema instrumentado de seguridad es escoger componentes con diagnósticos integrados. Esto es especialmente importante para sensores y elementos finales de control: más del 85% de los problemas que afectan a la operación de un sistema instrumentado de seguridad se relacionan con los dispositivos de campo, no con el solucionador lógico. La ventaja PlantWeb El sistema instrumentado de seguridad inteligente de Emerson está diseñado para automatizar las pruebas de carrera parcial, evitando los mayores costos y los riesgos potenciales de las pruebas manuales – incluyendo mayor mano de obra, exposición de los trabajadores a condiciones peligrosas, e incluso la reducción de la seguridad al no seguir los procedimientos adecuados. El controlador de válvula digital FIELDVUE, usado en combinación con el software AMS Device Manager, documenta la firma original de la válvula y otros datos, así como el tiempo de prueba de carrera parcial, la fecha y los resultados. El controlador de válvula FIELDVUE también es parte de la solución de actuador de válvula/controlador SIL-PAC disponible para aplicaciones SIS. El solucionador lógico SIS de DeltaV puede automatizar el inicio de la prueba de carrera parcial y colectar los resultados en datos pasa-falla. Usted también puede reducir la frecuencia de las pruebas de aceptación escogiendo dispositivos con bajas tasas de falla – tales como los transmisores Rosemount y medidores de flujo tipo Coriolis de Micro Motion que también pueden ser componentes clave de nuestro sistema instrumentado de seguridad inteligente. Fuentes de fallas en sistemas instrumentados de seguridad Sensores Solucionadores lógicos Elementos finales Fuente: Análisis de Emerson de datos OREDA
Los dispositivos que brindan capacidades de diagnóstico usan microprocesadores incorporados en la tarjeta para monitorizar y reportar su propio estado. Algunos pueden incluso predecir problemas potenciales a tiempo para que usted tome la acción correctiva antes de que la seguridad se vea comprometida. Mientras los dispositivos continúan haciéndose "inteligentes", las capacidades de diagnóstico se pueden extender más allá de su propia condición operativa hacia el proceso circundante. Por ejemplo, si un medidor de flujo simplemente reporta que hay un problema, el personal de mantenimiento podría reemplazarlo – pero eso no eliminaría una condición de slug-flow (densidad fuera de los límites), que es un problema del proceso. Los diagnósticos que le alertan sobre tales condiciones pueden permitirle resolver un problema del proceso antes de que se convierta en un problema de seguridad. La ventaja PlantWeb Los dispositivos inteligentes del sistema instrumentado de seguridad inteligente de Emerson brindan una amplia gama de diagnósticos avanzados. Por ejemplo, el controlador de válvula digital DVC6000 SIS puede diagnosticar problemas en el actuador y en la válvula así como en sí mismo. Un transmisor 3144P SIS de Rosemount puede indicar cuando detecta una sonda de temperatura defectuosa. Además, un medidor de flujo inteligente tipo Coriolis de Micro Motion puede detectar condiciones del proceso tales como slug flow, o cambios en la densidad de los reactivos que podría indicar que un catalizador se está contaminando. Alertas y alarmas inteligentes Las pruebas de carrera parcial, los diagnósticos y otras tecnologías para identificar (o incluso predecir) problemas en lazos de seguridad pueden ayudar a mantener la PFDprom requerida – pero sólo si la gente adecuada averigua sobre los problemas a tiempo para tomar la acción correctiva. La detección comienza en el proceso, usando dispositivos inteligentes capaces de monitorizar continuamente la condición operativa de los dispositivos y del lazo. Esto incluye la detección de condiciones tales como una válvula que se pega, baja presión de suministro de aire del actuador o un sensor de temperatura defectuoso. A quién se debe informar – y cómo – depende de la naturaleza de un problema detectado. Para deterioro gradual que pudiera conducir a un problema en el futuro, un correo electrónico automático al personal de mantenimiento podría permitirles programar las reparaciones adecuadamente. Por el contrario, las situaciones que representan una amenaza en un futuro cercano al proceso o la fiabilidad SIS podrían generar una alarma inmediata para alertar a los operadores para que tomen la acción correctiva. En todos los casos, es posible que se requiera la creación de un registro del problema en papel para satisfacer los requisitos normativos de informes.
Sumario En este curso usted ha aprendido que: • Los componentes físicos principales de un sistema instrumentado de seguridad son sensores, solucionadores lógicos y elementos finales de control. • Los componentes y subsistemas esenciales son aquéllos necesarios para llevar a cabo la función instrumentada de seguridad. Éstos deben cumplir con los requisitos de nivel de integridad de seguridad (SIL). • Los componentes y subsistemas no esenciales proporcionan soporte para diseñar o dar mantenimiento al sistema instrumentado de seguridad, pero no interfieren con su funcionamiento. Éstos no tienen que cumplir con los requisitos SIL. • Los componentes esenciales del sistema instrumentado de seguridad deben ser certificados o comprobados en uso. El mejor enfoque generalmente depende de la complejidad del dispositivo y de si usted tiene suficientes datos de uso anterior. • La probabilidad de falla en demanda (PFD) de un componente o sistema afecta a su habilidad de proporcionar la reducción de riesgo necesaria y el nivel de integridad de seguridad (SIL). • Las pruebas de aceptación más frecuentes pueden reducir la PFD, y las pruebas de carrera parcial pueden extender los intervalos entre las pruebas de aceptación completas. • Las alarmas inteligentes ayudan a informar a la gente correcta cuando hay un problema potencial con el proceso o sistema. La ventaja PlantWeb PlantWeb Alerts notifica a la gente adecuada sobre problemas potenciales – sin abrumar a los operadores con alarmas molestas. Esta capacidad es posible gracias a los diagnósticos de los dispositivos de campo inteligentes de Emerson, al software AMS™ Suite: Intelligent Device Manager y al sistema DeltaV™, permite analizar inmediatamente la información entrante, clasificarla de acuerdo a quién se debe avisar, darle prioridad de acuerdo a la gravedad y criticidad en el tiempo, y luego no sólo decir a los destinatarios qué está mal sino aconsejarles sobre qué hacer al respecto – en un lenguaje cotidiano claro. Con el complemento opcional SIS Reporting Messenger, los resultados detallados de las pruebas de diagnóstico SIS del actuador de carrera parcial, sensor y condición operativa del lazo SIS se transmiten y se imprimen automáticamente.
SIS 202 Diseño funcional 15 minutos O Generalidades 1 Tipos de software 2 Ciclo de vida de desarrollo 3 Módulos de software certificados 4 Herramientas de utilidad de software 5 Sumario Generalidades En el curso anterior usted aprendió acerca de los aspectos físicos (hardware) de un sistema instrumentado de seguridad. Ahora concentraremos nuestra atención a los aspectos funcionales (software). Usted puede pensar que el software es algo fácil de arreglar si hay un problema. Pero en sistemas de seguridad, es esencial hacer lo correcto. Aproximadamente la mitad de los accidentes ocasionados por fallas de control y del sistema de seguridad se originan debido a errores o decisiones deficientes tomadas antes de que los sistemas salgan de la mesa de dibujo. Así que una buena ingeniería en este punto hace una gran diferencia en qué tan bien – o incluso si – su sistema instrumentado de seguridad hará su trabajo. Este curso describe aspectos clave para garantizar que su software permita que el sistema de seguridad ejecute sus funciones. Al final del curso, hay un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, busque las respuestas a estas preguntas: • ¿Cuáles son los tres tipos de software de un sistema de seguridad? • ¿Cuáles son los dos lados del “modelo V” de desarrollo de software? • ¿Cuáles son los beneficios de usar módulos de software certificados para sistemas instrumentados de seguridad? ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Causas raíz de fallas en sistemas de control y de seguridad Especificación Diseño e implementación 15% Fuente: Oficina Ejecutiva de Salud y Seguridad 44% Instalación y comisionamiento 6% Cambios después del comisionamiento 20% Operación y mantenimiento 15%
Tipos de software La norma IEC 61511 identifica tres tipos de software: 1. Aplicación: El software que usted desarrolla específicamente para su solución SIS – en otras palabras, la configuración del sistema. 2. Utilidad: Las herramientas de software que usted usa para desarrollar, verificar y dar mantenimiento al software de aplicación. 3. Integrado: El software (también llamado firmware) que está “integrado” a los productos SIS. El software de utilidad e integrado es generalmente proporcionado por los fabricantes de instrumentos y de sistemas de control como parte de sus productos. Cuando estos productos están certificados para aplicación SIS, los proveedores generalmente tienen la responsabilidad primaria de garantizar que este software cumple con las normas IEC 61508. Por otro lado, toda la responsabilidad de garantizar que el software de aplicación cumpla con los requisitos, es de usted – aunque los consultores e integradores pueden ayudar. Ciclo de vida de desarrollo El gigante de las computadoras IBM usa la regla “1-10-100” para explicar la importancia del diseño de buen software: Por cada error de software que se pueda quitar por $1 durante la fase de diseño, si se espera para quitarlo durante las pruebas costará $10, y si se espera hasta que se ha entregado el software costará $100. En el mundo de la seguridad, los costos pueden ser mayores – y medidos en términos de vida y miembros. Por eso es importante garantizar la calidad del software desde el principio, y continuar verificándola a lo largo del proceso de desarrollo. IEC 61511 permite alguna flexibilidad en la manera en que usted desarrolle el software de aplicación para su sistema instrumentado de seguridad. Sin embargo, requiere que el proceso de desarrollo sea estructurado con cuidado para evitar errores de ingeniería que ocasionen fallas peligrosas durante la operación. También requiere que se verifique y se valide que la solución de aplicación del software funcione como se define en la documentación de diseño. La norma incluye el “modelo V” de desarrollo de software popular para ilustrar las actividades necesarias para garantizar que esto suceda. El lado izquierdo de la V muestra las actividades de desarrollo de software, y el lado derecho muestra las actividades correspondientes de verificación y validación. Haga clic en la imagen para ampliarla.
El proceso comienza con la especificación de los requisitos de seguridad (SRS) y progresa a través del diseño cada vez más detallado y etapas de desarrollo. Luego, una serie de pruebas cada vez a mayor escala verifica que el trabajo hecho en cada etapa haya cumplido con los requisitos de seguridad. Al final del proceso, la exitosa prueba de integración conduce al software validado. Este proceso – incluyendo la planificación y documentación de las pruebas – se describe con más detalle en el siguiente curso, SIS 203 – Verificación y validación del sistema instrumentado de seguridad. Módulos de software certificados El diseño de software moderno generalmente usa código modular que se desarrolla una vez pero se usa repetidamente – evitando el tiempo, el costo y los errores que pueden resultar de “reinventar la rueda”. La norma IEC le proporciona dos opciones: crear y validar su propia librería de módulos de software de aplicación, o usar módulos predesarrollados, probados y certificados por un tercero. Cuando usted usa módulos certificados proporcionados por fabricantes de productos SIS, no sólo evita el tiempo y el costo asociados con el desarrollo de ese código. También evita el requisito de probar cada módulo. El proveedor y la organización certificadora ya han hecho el trabajo por usted. Especificación de requisitos de seguridad del SIS Arquitectura del subsistema Especificación de requisitos de seguridad del software de aplicación Diseño de la arquitectura del software de aplicación Validación de la seguridad del SIS Pruebas de integración del software de aplicación del sistema electrónico programable (PES) Desarrollo del software de aplicación Desarrollo del módulo de aplicación Pruebas del software de aplicación Pruebas del módulo de aplicación Desarrollo y pruebas del código – sólo lenguaje de variabilidad total (FVL) Salida Verificación Ciclo de vida de desarrollo de software (modelo V) de IEC 61511-1 Sistema instrumentado de seguridad validado
Haga clic en la imagen para ampliarla. Si usted decide crear sus propios módulos de desarrollo de aplicación, debe comprender que la norma IEC establece requisitos muy estrictos para diseñar, desarrollar y probar estos módulos de software reusables. El resultado final es que los módulos de software de aplicación deben ser “a prueba de balas”, y quien los desarrolle asume la responsabilidad y el riesgo de garantizar que eso sea así. Especificación de requisitos de seguridad del SIS Arquitectura del subsistema Especificación de requisitos de seguridad del software de aplicación Diseño de la arquitectura del software de aplicación Desarrollo del software de aplicación Desarrollo del módulo de aplicación Validación de la seguridad del SIS Pruebas de integración del software de aplicación del sistema electrónico programable (PES) Pruebas del software de aplicación Pruebas del módulo de aplicación Desarrollo y pruebas del código – sólo lenguaje de variabilidad total (FVL) Sistema instrumentado de seguridad validado Salida Verificación Ciclo de vida de desarrollo de software (modelo V) de IEC 61511-1 No se requiere si se usan bloques de funciones certificados de seguridad para desarrollar la aplicación.
Herramientas de utilidad de software Como cualquier otro oficio, el desarrollo de software tiene herramientas para acelerar y simplificar el trabajo. IEC 61511 agrupa cosas tales como los lenguajes de programación de aplicación, herramientas de gestión de configuración, simulaciones, arneses de prueba y medición de cobertura de prueba automática bajo el encabezado software utility tools (herramientas de utilidad de software). La norma le permite una considerable flexibilidad en la selección de estas herramientas – incluyendo el uso o desarrollo de sus propias herramientas. Sin embargo, antes de poder usar una herramienta (comprada o desarrollada) para ayudar a lograr el cumplimiento con IEC, el manual de usuario de la herramienta debe documentar completamente lo siguiente: • Cómo usar la herramienta • Restricciones de uso • Puntos débiles conocidos • Limitaciones de la versión …y temas similares. Debido a la importancia de las herramientas de desarrollo de aplicación, la norma requiere que usted use un intérprete/compilador del lenguaje comprobado que pueda detectar errores de programación y de sintaxis – y que no introduzca errores él mismo. La ventaja PlantWeb El sistema DeltaV SIS que es parte del sistema instrumentado de seguridad inteligente de Emerson incluye una completa paleta de bloques de funciones certificados por TÜV incluyendo Voter (votante), Cause and Effect Matrix (matriz de causa y efecto), Step Sequencer (secuenciador por pasos) y State Transition Table (tabla de transición de estado). Poderosos bloques inteligentes de funciones, tales como bloques de votante MooN (M de N) con funcionalidad de desviación integrada reducen lo que una vez requirió el desarrollo de páginas de lógica de escalera a una simple actividad de configuración arrastrando y soltando (drag-and-drop). Otras capacidades del software DeltaV SIS, tales como una máquina de estado de alarmas integrada a la norma EEMUA 191, simulación fuera de línea, secuencia de registrador de eventos, manipulación de desviación y anulación, hacen que el mantenimiento de sistemas instrumentados de seguridad sea fácil y menos complejo. Todas estas capacidades integradas ayudan a automatizar el cumplimiento con IEC 61511, simplificando así los requisitos de documentación y reduciendo sus costos del ciclo de vida y los riesgos.
La ventaja PlantWeb Una herramienta de utilidad de software clave en el sistema instrumentado de seguridad inteligente de Emerson es el software AMS™ Suite: Intelligent Device Manager, que le permite verificar que la configuración e instalación de los instrumentos de campo sea adecuada. Su capacidad QuickCheck (revisión rápida) también simplifica la validación de interlock al permitirle poner varios instrumentos en modo de revisión fijo al mismo tiempo. Además, durante la modificación del sistema instrumentado de seguridad se puede usar para comparar las nuevas configuraciones de los dispositivos con otras anteriores. Para ver un estudio de un tercero sobre éstas y otras capacidades, consulte “AMS Safety Analysis: Using AMS Suite in Safety Instrumented System Applications” (Análisis de seguridad de AMS: Uso de AMS Suite en aplicaciones de sistemas instrumentados de seguridad). <www.emersonprocess.com/sis/resources/ams_safety_analysis.pdf> Sumario En este curso usted ha aprendido que: • La buena ingeniería de software es esencial para evitar problemas de seguridad que se “diseñan” en el sistema instrumentado de seguridad. • La norma IEC 61511 identifica tres tipos de software: software de aplicación, software de utilidad y software integrado (también llamado firmware). • Aunque los proveedores tienen generalmente la responsabilidad primaria por el software de utilidad y el integrado, depende de usted garantizar que el software específico a la aplicación cumpla con la norma. • Para cada fase del diseño y desarrollo de software, hay una fase de pruebas correspondiente para verificar que el software cumpla con los requisitos. • El uso de módulos de software precertificados puede reducir el tiempo y costo de desarrollo y pruebas.
SIS 203 Verificación y validación 15 minutos O Generalidades 1 Verificación 2 Validación 3 Un enfoque estructurado 4 Descomposición del sistema 5 Planificación de las pruebas 6 Documentación 7 Sumario Generalidades Todos sabemos que el mejor diseño sólo es bueno como lo es su implementación. Por eso es que no es suficiente diseñar un sistema instrumentado de seguridad (SIS) para cumplir con los requisitos de seguridad. Usted también tiene que comprobar que o cada paso del esfuerzo de diseño cumpla con los requisitos adecuados como se define en la especificación de requisitos de seguridad (SRS) o el sistema instrumentado de seguridad ejecutará su función de seguridad Estas dos actividades se llaman verificación y validación. La verificación tiene lugar en cada paso en el ciclo de vida de seguridad, mientras que la validación ocurre después de que se instala el sistema y antes de ponerlo en servicio. Ambas actividades le ayudan a quitar tantas fallas sistemáticas del sistema instrumentado de seguridad como sea posible. Las fallas sistemáticas son las que están “integradas” al sistema como resultado de errores humanos, contrario a las fallas aleatorias que ocurren cuando el equipo se descompone. Este curso muestra cómo la verificación y validación proporcionan un alto nivel de garantía de que el sistema instrumentado de seguridad funcionará de acuerdo con su especificación de requisitos de seguridad (SRS). También aprenderá maneras de estructurar los esfuerzos de verificación y validación para hacerlos más manejables, y cómo las prácticas de documentación le pueden ayudar a producir (y mantener) la prueba de que su sistema instrumentado de seguridad está diseñado e implementado adecuadamente. Al final del curso, usted puede usar el examen para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Preste especial atención a … • La diferencia entre verificación y validación • Cómo “descomponer” el sistema instrumentado de seguridad en subsistemas • Cómo pueden ayudar los modelos de validación como IQ-OQ-PQ • Qué debe incluir en sus planes de pruebas • Qué logra la buena documentación. ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Verificación
La verificación ocurre al final de cada paso del ciclo de vida de seguridad. Demuestra que el trabajo ha cumplido con los objetivos y requisitos para esa actividad específica. La verificación (y documentación de los resultados) tiene lugar en cada etapa del ciclo de vida de seguridad. La verificación se puede realizar mediante análisis, pruebas o una combinación de ambos. Las actividades podrían incluir: • Revisión de documentos de todas las fases del ciclo de vida de seguridad para garantizar el cumplimiento con los objetivos y requisitos • Revisión del diseño • Pruebas de los productos diseñados para garantizar que funcionen de acuerdo con su especificación. Esto es especialmente valioso para componentes modulares – tales como el código para un algoritmo de votante – que se usará muchas veces. • Pruebas de integración realizadas cuando se juntan diferentes partes del sistema. Las actividades de verificación y sus resultados se documentan completamente para mostrar no sólo que el diseño ha cumplido con los requisitos, sino también que usted ha comprobado para asegurarse de que así sea – y que ha hecho las correcciones necesarias. Validación La validación se basa en las actividades de verificación agregando pruebas completas del sistema instrumentado de seguridad completado para comprobar que todo funcione como debe. Esto demuestra que cada función de seguridad del sistema instrumentado de seguridad, así como el sistema en sí, cumplen con todos los requisitos contenidos en la especificación de requisitos de seguridad (SRS). Mientras que la verificación se hace en todo el proyecto y se puede realizar donde se está haciendo el trabajo, la validación ocurre sólo en sitio, después de que se ha instalado y comisionado el sistema. Entre otras cosas, las pruebas de validación pueden incluir la confirmación de que … Modificación y actualización Diseño detallado y construcción Instalación y Puesta en marcha Provisión de seguridad funcional Gestión de seguridad funcional Diseño conceptual del proceso e ingeniería básica del proyecto
• El sistema funciona adecuadamente en todos los modos de operación relevantes (puesta en marcha, paro, automático, semiautomático, etc.) • El sistema instrumentado de seguridad funciona satisfactoriamente bajo los modos de operación normal y anormal como se define en la especificación de requisitos de seguridad • La interacción del sistema de control básico (BPCS) y otros sistemas conectados no afecta o restringe la habilidad de respuesta del sistema instrumentado de seguridad • Los sensores, solucionadores lógicos y elementos finales de control (incluyendo canales redundantes) funcionan como se requiere • El sistema instrumentado de seguridad funciona adecuadamente con valores de proceso no válidos, tales como valores “fuera de rango” de sensor • El sistema instrumentado de seguridad funciona como está diseñado cuando ocurre pérdida y restauración de servicios públicos, tales como energía eléctrica, aire de instrumento o hidráulica. La validación requiere una planificación precisa para identificar y documentar los procedimientos, medidas y pruebas que se usarán, así como el orden y programa de las pruebas y las aptitudes requeridas del personal que las realizará. Es un gran trabajo que puede requerir muchos recursos. Pero cuando usted recuerde que el sistema instrumentado de seguridad existe para proteger a su comunidad, vecinos, familia, compañeros de trabajo y al medio ambiente, hacer menos no es una opción. Y afortunadamente, hay maneras de hacer que la tarea sea más manejable.
Un enfoque estructurado Usted recuerda que IEC 61511 define qué debe hacer y por qué, dejando que usted determine cómo hacerlo. Usted puede organizar y conducir los procesos de verificación y validación en cualquier manera que se acople a su situación – siempre y cuando produzca evidencia documentada de que el sistema instrumentado de seguridad cumple con la especificación de requisitos de seguridad. Pero en lugar de pasar por todo el esfuerzo de crear un enfoque de validación único, considere adoptar uno que ya se usa habitualmente en la industria. Aunque no se define en IEC 61511, un ejemplo muy usado es el enfoque estructurado prescrito por la Administración de Alimentos y Bebidas (FDA) de los Estados Unidos para validar los sistemas de control básico de procesos. Este modelo bien comprendido y bien documentado separa el trabajo en tres fases: Calificación de la instalación (IQ), calificación operativa (OQ) y calificación del funcionamiento (PQ). o La calificación de la instalación prueba y documenta que los aspectos físicos individuales de la solución SIS – dispositivos y subsistemas – están instalados correctamente. Se realiza antes de energizar. Para el ejemplo del tanque de amoniaco que vimos en un curso anterior, la IQ podría incluir la confirmación de que los sensores de presión instalados en el tanque sean del modelo correcto, que tengan la documentación de seguridad requerida, que hayan sido instalados de acuerdo con el diseño y especificaciones del fabricante, que estén conectados correctamente y que tengan todos los interruptores y puentes configurados adecuadamente. o La calificación operativa prueba y documenta que los aspectos físicos y de software individuales de la solución SIS funcionen como deben. Como la IQ, la OQ prueba dispositivos y subsistemas. Por ejemplo, usted podría revisar que cada sensor tenga los voltajes correctos, que la prueba de carrera parcial esté configurada correctamente en los controladores de válvula y que los solucionadores lógicos tengan su configuración descargada y que no reporten errores. o La calificación del funcionamiento prueba y documenta que el sistema instrumentado de seguridad como un todo es capaz de realizar las funciones de seguridad definidas de acuerdo con la especificación de requisitos de seguridad. La PQ es una prueba integrada de procedimientos, personal, procesos y el sistema instrumentado de seguridad completo. Ocurre después de que se hayan completado todas las actividades de IQ y OQ tanto para los aspectos físicos (hardware) como los funcionales (software) del sistema instrumentado de seguridad. Cualquier problema que se encuentre durante la calificación del funcionamiento (PQ) debe ser investigada, corregida y documentada. Debido a que IEC 61511 representa un marco para aplicar buenas prácticas para lograr una solución SIS robusta, la adopción de buenas prácticas existentes como el enfoque IQ-OQ-PQ tiene más sentido que crearlas desde cero. Usted puede simplificar más el esfuerzo conduciendo las pruebas función de seguridad por función de seguridad. Continuemos con la descripción de esta “descomposición” del sistema. Descomposición del sistema ¿Está cada componente instalado correctamente? ¿Funciona cada componente correctamente? ¿Funciona todo el sistema correctamente?
Verificar y validar un sistema instrumentado de seguridad completo puede parecer (y ser) una tarea desalentadora – a menos que usted divida el trabajo en partes manejables. Una manera de hacer esto es descomponiendo la solución SIS en funciones instrumentadas de seguridad (SIFs) e identificando los dispositivos y subsistemas que realizan cada función instrumentada de seguridad. Al ver cada componente por separado es más fácil identificar y documentar las habilidades, el equipo de prueba, la estructura de prueba y las hojas de terminación para partes y subsistemas específicos. Por ejemplo, usted encontrará que algunas partes y subsistemas, tales como sensores y elementos finales de control, son específicos a una función de seguridad. Otras, tales como la alimentación de CA y CC, sistemas de tierra y comunicaciones, son más “genéricos”. Por lo tanto, usted puede estructurar sus esfuerzos para confirmar primero que los elementos genéricos estén proporcionando los servicios o capacidades necesarios para soportar todas las funciones de seguridad. Una vez que sepa que ése es el caso, usted puede verificar que los elementos únicos a cada función de seguridad también estén funcionando adecuadamente. Este enfoque evita volver a probar los mismos enfoques genéricos para cada función de seguridad. Para el sistema que se muestra en el siguiente diagrama, por ejemplo, la descomposición le permite validar la fuente de alimentación sólo una vez, sin tener que probarla otra vez para cada una de las funciones de seguridad que soporta. El mismo principio se aplica al solucionador lógico que se encuentra a la izquierda en el diagrama. Una vez que usted ha establecido que sus capacidades genéricas están funcionando correctamente (por ejemplo, que no hay errores de diagnóstico, que las fuentes de alimentación están bien y que la red está trabajando), usted no necesita volver a probar estas mismas funciones para cada función instrumentada de seguridad (SIF) que el solucionador lógico soporta. Sin embargo, usted debe validar que cada función instrumentada de seguridad funciona correctamente de acuerdo con la especificación de requisitos de seguridad. La descomposición del sistema en partes y subsistemas también facilita y hace más eficiente el uso de material de los fabricantes de productos, consultores terceros y recursos públicos para crear sus planes de pruebas. Por ejemplo, el plan de prueba IQ para un transmisor de presión certificado para seguridad se puede desarrollar consultando las secciones relevantes de la documentación de instalación del fabricante, aumentadas con una hoja de terminación de verficación IQ adecuada. El plan de prueba OQ del transmisor de presión se puede desarrollar de manera similar de acuerdo al manual de seguridad del fabricante y de acuerdo a los requisitos de calibración. Fuente de alimentación Solucionador lógico Solucionador lógico Sensor Sensor SensorVálvula Válvula Válvula Función de seguridad 1 Función de seguridad 2 Función de seguridad 3
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)

Recomendados

Instrumentación Industrial
Instrumentación Industrial Instrumentación Industrial
Instrumentación Industrial
Michael Maquez
 
Norma isa completo
Norma isa completoNorma isa completo
Norma isa completo
Eders GM
 
Seaparat elect pote
Seaparat elect poteSeaparat elect pote
Seaparat elect pote
Luis Sanchez
 
Instrumentacion
InstrumentacionInstrumentacion
Instrumentacion
Aly Olvera
 
Ingenieria de control moderna 3 edicion k. ogata
Ingenieria de control moderna 3 edicion k. ogataIngenieria de control moderna 3 edicion k. ogata
Ingenieria de control moderna 3 edicion k. ogata
GabitoMtz
 
PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...
PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...
PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...
SANTIAGO PABLO ALBERTO
 
Ejercicios con diagramas de escalera.
Ejercicios con diagramas de escalera. Ejercicios con diagramas de escalera.
Ejercicios con diagramas de escalera.
C Dan Empires
 
I conceptos basicos de control
I conceptos basicos de controlI conceptos basicos de control
I conceptos basicos de control
Humberto Hernandez Sing
 

Recomendados

Instrumentación Industrial
Instrumentación Industrial Instrumentación Industrial
Instrumentación Industrial
Michael Maquez
 
Norma isa completo
Norma isa completoNorma isa completo
Norma isa completo
Eders GM
 
Seaparat elect pote
Seaparat elect poteSeaparat elect pote
Seaparat elect pote
Luis Sanchez
 
Instrumentacion
InstrumentacionInstrumentacion
Instrumentacion
Aly Olvera
 
Ingenieria de control moderna 3 edicion k. ogata
Ingenieria de control moderna 3 edicion k. ogataIngenieria de control moderna 3 edicion k. ogata
Ingenieria de control moderna 3 edicion k. ogata
GabitoMtz
 
PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...
PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...
PLC y Electroneumática: Instalaciones eléctricas y automatismo por Luis Migue...
SANTIAGO PABLO ALBERTO
 
Ejercicios con diagramas de escalera.
Ejercicios con diagramas de escalera. Ejercicios con diagramas de escalera.
Ejercicios con diagramas de escalera.
C Dan Empires
 
I conceptos basicos de control
I conceptos basicos de controlI conceptos basicos de control
I conceptos basicos de control
Humberto Hernandez Sing
 
57220854 simbologia-y-diagramas-de-instrumentacion
57220854 simbologia-y-diagramas-de-instrumentacion57220854 simbologia-y-diagramas-de-instrumentacion
57220854 simbologia-y-diagramas-de-instrumentacion
vilchoff
 
Ejercicios ladder
Ejercicios ladderEjercicios ladder
Ejercicios ladder
Felipe Alejandro Sandoval Garcia
 
Diagramas p id
Diagramas p idDiagramas p id
Diagramas p id
F Sisniegas GC
 
TEMA III - INSTRUMENTACIÓN (1).pdf
TEMA III - INSTRUMENTACIÓN (1).pdfTEMA III - INSTRUMENTACIÓN (1).pdf
TEMA III - INSTRUMENTACIÓN (1).pdf
Enrique143581
 
Override control system
Override control systemOverride control system
Override control system
Ashvani Shukla
 
ejercicios control de procesos
ejercicios control de procesosejercicios control de procesos
ejercicios control de procesos
Adri Montesdeoca
 
PLC: manual de practicas de laboratorio de controladores lógicos programables
PLC: manual de practicas de laboratorio de controladores lógicos programables PLC: manual de practicas de laboratorio de controladores lógicos programables
PLC: manual de practicas de laboratorio de controladores lógicos programables
SANTIAGO PABLO ALBERTO
 
Normas isa
Normas isaNormas isa
Normas isa
Luis Córdova Heredia
 
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
SANTIAGO PABLO ALBERTO
 
Selección de un manómetro
Selección de un manómetroSelección de un manómetro
Selección de un manómetro
EliasFernandez30
 
plc scada
plc scada plc scada
plc scada
Ayush Gautam
 
Tipos de instrumentos
Tipos de instrumentosTipos de instrumentos
Tipos de instrumentos
Uziel Solis Herrera
 
Subestaciones electricas
Subestaciones electricasSubestaciones electricas
Subestaciones electricas
pepito3101
 
Cicloconvertidores trifásicos con modulación de ancho de pulso
Cicloconvertidores trifásicos con modulación de ancho de pulsoCicloconvertidores trifásicos con modulación de ancho de pulso
Cicloconvertidores trifásicos con modulación de ancho de pulso
Frank León Aranda
 
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdfINSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
JesusDanielGonzalesV1
 
Definiciones de Control
Definiciones de ControlDefiniciones de Control
Definiciones de Control
guesta32ead
 
Control por plc
Control por plcControl por plc
Control por plc
Arturo Saldivar Cervantes
 
Lugar geométrico de las raices control 1
Lugar geométrico de las raices control 1Lugar geométrico de las raices control 1
Lugar geométrico de las raices control 1
Marvin Pariona
 
Cuaderno 2 Neumática
Cuaderno 2 NeumáticaCuaderno 2 Neumática
Cuaderno 2 Neumática
andogon
 
Manual lectura-e-interpretacion-de-planos-instrumentacion
Manual lectura-e-interpretacion-de-planos-instrumentacionManual lectura-e-interpretacion-de-planos-instrumentacion
Manual lectura-e-interpretacion-de-planos-instrumentacion
Adrian Camacho
 
Sis 102 reducing-risk_es
Sis 102 reducing-risk_esSis 102 reducing-risk_es
Sis 102 reducing-risk_es
Julio Illanes
 
Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)
Julio Illanes
 

Más contenido relacionado

La actualidad más candente

57220854 simbologia-y-diagramas-de-instrumentacion
57220854 simbologia-y-diagramas-de-instrumentacion57220854 simbologia-y-diagramas-de-instrumentacion
57220854 simbologia-y-diagramas-de-instrumentacion
vilchoff
 
PLC: manual de practicas de laboratorio de controladores lógicos programables
PLC: manual de practicas de laboratorio de controladores lógicos programables PLC: manual de practicas de laboratorio de controladores lógicos programables
PLC: manual de practicas de laboratorio de controladores lógicos programables
SANTIAGO PABLO ALBERTO
 
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
SANTIAGO PABLO ALBERTO
 
Subestaciones electricas
Subestaciones electricasSubestaciones electricas
Subestaciones electricas
pepito3101
 
Cicloconvertidores trifásicos con modulación de ancho de pulso
Cicloconvertidores trifásicos con modulación de ancho de pulsoCicloconvertidores trifásicos con modulación de ancho de pulso
Cicloconvertidores trifásicos con modulación de ancho de pulso
Frank León Aranda
 
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdfINSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
JesusDanielGonzalesV1
 
Definiciones de Control
Definiciones de ControlDefiniciones de Control
Definiciones de Control
guesta32ead
 
Manual lectura-e-interpretacion-de-planos-instrumentacion
Manual lectura-e-interpretacion-de-planos-instrumentacionManual lectura-e-interpretacion-de-planos-instrumentacion
Manual lectura-e-interpretacion-de-planos-instrumentacion
Adrian Camacho
 

La actualidad más candente (20)

57220854 simbologia-y-diagramas-de-instrumentacion
57220854 simbologia-y-diagramas-de-instrumentacion57220854 simbologia-y-diagramas-de-instrumentacion
57220854 simbologia-y-diagramas-de-instrumentacion
 
Ejercicios ladder
Ejercicios ladderEjercicios ladder
Ejercicios ladder
 
Diagramas p id
Diagramas p idDiagramas p id
Diagramas p id
 
TEMA III - INSTRUMENTACIÓN (1).pdf
TEMA III - INSTRUMENTACIÓN (1).pdfTEMA III - INSTRUMENTACIÓN (1).pdf
TEMA III - INSTRUMENTACIÓN (1).pdf
 
Override control system
Override control systemOverride control system
Override control system
 
ejercicios control de procesos
ejercicios control de procesosejercicios control de procesos
ejercicios control de procesos
 
PLC: manual de practicas de laboratorio de controladores lógicos programables
PLC: manual de practicas de laboratorio de controladores lógicos programables PLC: manual de practicas de laboratorio de controladores lógicos programables
PLC: manual de practicas de laboratorio de controladores lógicos programables
 
Normas isa
Normas isaNormas isa
Normas isa
 
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
PLC: Problemas resueltos con autómatas programables Paraninfo por J. Pedro Ro...
 
Selección de un manómetro
Selección de un manómetroSelección de un manómetro
Selección de un manómetro
 
plc scada
plc scada plc scada
plc scada
 
Tipos de instrumentos
Tipos de instrumentosTipos de instrumentos
Tipos de instrumentos
 
Subestaciones electricas
Subestaciones electricasSubestaciones electricas
Subestaciones electricas
 
Cicloconvertidores trifásicos con modulación de ancho de pulso
Cicloconvertidores trifásicos con modulación de ancho de pulsoCicloconvertidores trifásicos con modulación de ancho de pulso
Cicloconvertidores trifásicos con modulación de ancho de pulso
 
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdfINSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
INSTRUMENTACIÓN Y CONTROL DE NIVEL PARA UN SISTEMA DE TANQUES.pdf
 
Definiciones de Control
Definiciones de ControlDefiniciones de Control
Definiciones de Control
 
Control por plc
Control por plcControl por plc
Control por plc
 
Lugar geométrico de las raices control 1
Lugar geométrico de las raices control 1Lugar geométrico de las raices control 1
Lugar geométrico de las raices control 1
 
Cuaderno 2 Neumática
Cuaderno 2 NeumáticaCuaderno 2 Neumática
Cuaderno 2 Neumática
 
Manual lectura-e-interpretacion-de-planos-instrumentacion
Manual lectura-e-interpretacion-de-planos-instrumentacionManual lectura-e-interpretacion-de-planos-instrumentacion
Manual lectura-e-interpretacion-de-planos-instrumentacion
 

Similar a Sistema instrumentado de seguridad (sis)

Sis 102 reducing-risk_es
Sis 102 reducing-risk_esSis 102 reducing-risk_es
Sis 102 reducing-risk_es
Julio Illanes
 
Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)
Julio Illanes
 

Similar a Sistema instrumentado de seguridad (sis) (20)

Sis 102 reducing-risk_es
Sis 102 reducing-risk_esSis 102 reducing-risk_es
Sis 102 reducing-risk_es
 
Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)
 
Métodos evaluación de riesgos
Métodos evaluación de riesgosMétodos evaluación de riesgos
Métodos evaluación de riesgos
 
6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos
 
Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos Métodos para la Evaluación Integral de Riesgos
Métodos para la Evaluación Integral de Riesgos
 
Unidad 2 actividad_1_metodos de evaluacion
Unidad 2 actividad_1_metodos de evaluacionUnidad 2 actividad_1_metodos de evaluacion
Unidad 2 actividad_1_metodos de evaluacion
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgos
 
Métodos para la evaluación integral de riesgos
Métodos para la evaluación integral de riesgosMétodos para la evaluación integral de riesgos
Métodos para la evaluación integral de riesgos
 
Métodos para la evaluación integral de los riesgos
Métodos para la evaluación integral de los riesgosMétodos para la evaluación integral de los riesgos
Métodos para la evaluación integral de los riesgos
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgos
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgo
 
Metodos para la evaluacion integral del riesgo
Metodos para la evaluacion integral del riesgoMetodos para la evaluacion integral del riesgo
Metodos para la evaluacion integral del riesgo
 
Métodos de evaluación del riesgo
Métodos de evaluación del riesgoMétodos de evaluación del riesgo
Métodos de evaluación del riesgo
 
Métodos de Evaluación de Riesgos
Métodos de Evaluación de RiesgosMétodos de Evaluación de Riesgos
Métodos de Evaluación de Riesgos
 
Analisis de riesgos_en_procesos
Analisis de riesgos_en_procesosAnalisis de riesgos_en_procesos
Analisis de riesgos_en_procesos
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgos
 
Actividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosActividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgos
 
Métodos de Evaluación de Riesgos
Métodos de Evaluación de Riesgos Métodos de Evaluación de Riesgos
Métodos de Evaluación de Riesgos
 
Act 3 metodos ferney
Act 3 metodos ferneyAct 3 metodos ferney
Act 3 metodos ferney
 
Actividad 3 -Gestión Integral del Riesgo
Actividad 3 -Gestión Integral del RiesgoActividad 3 -Gestión Integral del Riesgo
Actividad 3 -Gestión Integral del Riesgo
 

Último

SO5. s5. Unidad 2. Sectorización_-639808213.pdf
SO5. s5. Unidad 2. Sectorización_-639808213.pdfSO5. s5. Unidad 2. Sectorización_-639808213.pdf
SO5. s5. Unidad 2. Sectorización_-639808213.pdf
StayBe1
 
Unidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docx
Unidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docxUnidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docx
Unidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docx
AlanCarrascoDavila
 
Tipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosTipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplos
andersonsubero28
 

Último (20)

SO5. s5. Unidad 2. Sectorización_-639808213.pdf
SO5. s5. Unidad 2. Sectorización_-639808213.pdfSO5. s5. Unidad 2. Sectorización_-639808213.pdf
SO5. s5. Unidad 2. Sectorización_-639808213.pdf
 
Arquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo LimacheArquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo Limache
 
Balance materia y energia procesos de Secado
Balance materia y energia procesos de SecadoBalance materia y energia procesos de Secado
Balance materia y energia procesos de Secado
 
Unidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docx
Unidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docxUnidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docx
Unidad 2 Métodos Numéricos. Solución de ecuaciones algebraicas.docx
 
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfNTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
 
Tipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosTipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplos
 
UNIDAD 3 ENSAYOS DESTRUCTIVOS Y NO DESTRUCTIVOS – NORMATIVA ASTM.pdf
UNIDAD 3 ENSAYOS DESTRUCTIVOS Y NO DESTRUCTIVOS – NORMATIVA ASTM.pdfUNIDAD 3 ENSAYOS DESTRUCTIVOS Y NO DESTRUCTIVOS – NORMATIVA ASTM.pdf
UNIDAD 3 ENSAYOS DESTRUCTIVOS Y NO DESTRUCTIVOS – NORMATIVA ASTM.pdf
 
Matematica Basica Limites indeterminados
Matematica Basica Limites indeterminadosMatematica Basica Limites indeterminados
Matematica Basica Limites indeterminados
 
entropia y neguentropia en la teoria general de sistemas
entropia y neguentropia en la teoria general de sistemasentropia y neguentropia en la teoria general de sistemas
entropia y neguentropia en la teoria general de sistemas
 
Instalacion de un Sistema contra incendio
Instalacion de un Sistema contra incendioInstalacion de un Sistema contra incendio
Instalacion de un Sistema contra incendio
 
examen ExANI 2...........................
examen ExANI 2...........................examen ExANI 2...........................
examen ExANI 2...........................
 
Diseño digital - M. Morris Mano - 3ed.pdf
Diseño digital - M. Morris Mano - 3ed.pdfDiseño digital - M. Morris Mano - 3ed.pdf
Diseño digital - M. Morris Mano - 3ed.pdf
 
1.1 Los 14 principios del Toyota Way -2024.pdf
1.1 Los 14 principios del Toyota Way -2024.pdf1.1 Los 14 principios del Toyota Way -2024.pdf
1.1 Los 14 principios del Toyota Way -2024.pdf
 
UNIDAD 2.- SENSORES.TIPOS DE SENSORES Y SU CLASIFICAIÓN
UNIDAD 2.- SENSORES.TIPOS DE SENSORES Y SU CLASIFICAIÓNUNIDAD 2.- SENSORES.TIPOS DE SENSORES Y SU CLASIFICAIÓN
UNIDAD 2.- SENSORES.TIPOS DE SENSORES Y SU CLASIFICAIÓN
 
Cuestionario 20222222222222222222222224.pdf
Cuestionario 20222222222222222222222224.pdfCuestionario 20222222222222222222222224.pdf
Cuestionario 20222222222222222222222224.pdf
 
Trabajos Preliminares en Obras de Construcción..pdf
Trabajos Preliminares en Obras de Construcción..pdfTrabajos Preliminares en Obras de Construcción..pdf
Trabajos Preliminares en Obras de Construcción..pdf
 
Presentacion Feria Cientifica Proyecto.pptx
Presentacion Feria Cientifica Proyecto.pptxPresentacion Feria Cientifica Proyecto.pptx
Presentacion Feria Cientifica Proyecto.pptx
 
Trabajo practico N°14 - Despacho Economico de Cargas - Campus 2022.pdf
Trabajo practico N°14 - Despacho Economico de Cargas - Campus 2022.pdfTrabajo practico N°14 - Despacho Economico de Cargas - Campus 2022.pdf
Trabajo practico N°14 - Despacho Economico de Cargas - Campus 2022.pdf
 
Determinación de espacios en la instalación
Determinación de espacios en la instalaciónDeterminación de espacios en la instalación
Determinación de espacios en la instalación
 
Video sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptxVideo sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptx
 

Sistema instrumentado de seguridad (sis)

  • 1. SIS 101 ¿Qué es el riesgo? 15 minutos En este curso: O Generalidades 1 ¿Qué está en riesgo? 2 Identificando los riesgos 3 Riesgo inherente 4 Evaluación del riesgo 5 Riesgo tolerable 6 Sumario Q Examen © 2005 Emerson Process Management. Todos los derechos reservados. Generalidades La implementación de un sistema instrumentado de seguridad (SIS) puede ser un gran trabajo. Considerando la importancia de la seguridad de la planta, ésta es una tarea que debe hacerse correctamente a la primera vez. Si usted comprende los conceptos básicos de la seguridad de la planta y de los sistemas instrumentados de seguridad antes de que comience el trabajo, tendrá una mejor idea de hacia dónde va y de qué clases de preguntas se debe hacer usted mismo y a los demás a medida que avanza. Este curso introduce quizá lo más básico de esos conceptos: el riesgo. Describiremos las clases de riesgos que generalmente se consideran en los programas de seguridad de las plantas, así como la manera en que se identifican y se evalúan dichos riesgos. Al final del curso, usted encontrará un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, preste especial atención a lo siguiente: o Las dos partes de la identificación de los riesgos peligrosos o ¿Qué produce los riesgos inherentes? o ¿Cómo se cuantifican los riesgos? o ¿Quién determina cuándo un riesgo es tolerable? ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. ¿Qué está en riesgo? En las normas de seguridad tales como IEC 61511, lo que está en riesgo se identifica como personal y medio ambiente. Sin embargo, la mayoría de las compañías usan una lista de categorías de riesgos más amplia que también puede incluir lo siguiente: • Seguridad y salud públicas • Costos de responsabilidad civil • Interrupciones de la producción y problemas de calidad • Daños a equipo y costos de reparación ¿Qué es IEC 61511? IEC 61511 – sobre lo que aprenderá en el curso SIS 103 – es una norma de seguridad internacional emitida por la Comisión Electrotécnica Internacional (www.iec.ch). Aunque la comisión IEC tiene su sede en Suiza, sus normas
  • 2. se usan en todo el mundo – no sólo en Europa. La norma IEC con la que estamos familiarizados la mayoría de los que trabajamos en la automatización de procesos es la IEC 61131-3, que describe los lenguajes de programación de sistemas de control. Identificando los riesgos Un paso clave para mantener o mejorar la seguridad es identificar los riesgos que la amenazan. Como lo indica el diagrama, la identificación de los riesgos requiere que se responda a ambas partes de la pregunta, “¿Cuál es la probabilidad de que ocurra un evento dañino, y cuáles son las consecuencias si ocurre?” El reto es identificar los riesgos por adelantado para que se puedan reducir o eliminar – por ejemplo, cambiando la formulación de un producto o reduciendo las cantidades de material peligroso presente. El riesgo está determinado tanto por la probabilidad como por las consecuencias de un evento. Probabilidad AltaBaja Consecuencias Menores Extensas
  • 3. La tarea de identificar y clasificar el riesgo se hace a menudo en etapas, incrementando en cada una el nivel de complejidad y perfección. La siguiente tabla muestra algunas de las técnicas más comunes. Técnicas de identificación de riesgos Cuándo las podría usar • Revisión de seguridad • Lista de verificación • Análisis preliminar de peligros • Qué tal si • Estudio HAZOP (HAZard, peligro y OPerability, operabilidad abreviado) Se usa en estudios de evaluación de peligros preliminares para proporcionar un panorama general de los riesgos existentes. (Generalmente no consume demasiado tiempo.) • Qué tal si/Lista de verificación • Estudio HAZOP detallado y completo • Análisis de evento y modo de falla Se usa para desarrollar un análisis más detallado de los riesgos potenciales. • Análisis de árbol de fallas • Análisis de árbol de eventos • Análisis causa-consecuencia • Análisis de fiabilidad humana Se usa en combinación con el análisis cuantitativo de riesgos para establecer un alto nivel de detalle acerca de los riesgos. (Generalmente se usa sólo para áreas u operaciones unitarias específicas.) Riesgo inherente La mayoría de las instalaciones de procesos tienen demasiados componentes de equipo que cada uno contribuye a lo que se llama riesgo inherente – en otras palabras, el riesgo que existe debido a la naturaleza del proceso, incluyendo el equipo y los materiales presentes. Por ejemplo, los riesgos inherentes de viajar en un automóvil incluyen los accidentes ocasionados por los errores del conductor, neumáticos pinchados o (aunque no muy probable) incendio del combustible. La evaluación de todo el proceso ayuda a determinar la probabilidad de que ocurra un evento riesgoso, y la evaluación de los materiales (tipo y cantidad) ayuda a determinar las consecuencias del riesgo. Veamos cómo el riesgo inherente se aplica a un ejemplo de la industria de procesos – un tanque presurizado que contiene amoniaco.
  • 4. Al mirar en el proceso completo se hacen evidentes varios riesgos inherentes que podrían conducir a una liberación de amoniaco, incluyendo la posibilidad de que ocurra lo siguiente: • Ruptura del tanque debido a un exceso de presión y/o defectos de las uniones • Fugas en las uniones de la tubería, empaque de la válvula y/o tomas del sensor • Imposibilidad de los transmisores, válvula de control y/o sistema de control básico del proceso (tal como un SCD o PLC) para mantener el volumen y presión correctos en el tanque Cada uno de estos riesgos tiene una probabilidad. Las consecuencias dependen en gran medida de los peligros de exposición del personal al amoniaco – incluyendo irritación de los ojos y del sistema respiratorio. Evaluación del riesgo La evaluación del riesgo, aunque es potencialmente subjetiva, se hace generalmente usando un modelo de evaluación de riesgo corporativo establecido que fue desarrolado por gente competente – tales como ingenieros, químicos y abogados – que están capacitados para evaluar y cuantificar la causa, el efecto y la responsabilidad civil. El desarrollo de un modelo de evaluación de riesgo para cada categoría en riesgo requiere que se establezca un medio consistente de describir tanto la probabilidad (frecuencia) como la consecuencia (gravedad) de un evento. Cuando se desarrollan modelos de evaluación de riesgo, es buena idea usar cuantificaciones amplias – tales como órdenes de magnitud en lugar de valores exactos – para evitar quedarse atascado en trabajo minucioso debido a los niveles de riesgo demasiado precisos. Probabilidad. Las consecuencias de un evento pueden ser graves, pero la probabilidad de que ocurra puede ser baja. Para garantizar que diferentes grupos de personas dentro de la misma compañía establezcan aproximadamente las mismas clasificaciones de riesgo para eventos similares, el modelo debe incluir una medida cuantificada consistente de probabilidad o frecuencia del evento. Por ejemplo, una baja probabilidad se podría definir como menos de 1 oportunidad en 10,000 del evento que ocurra durante un año. Chimenea/AntorchaVálvula de alivio Transmisor de presión Sistema de control básico del proceso Transmisor de nivel Válvula de control de nivel
  • 5. Ejemplo de modelo de evaluación de riesgo para probabilidad: Probabilidad Tipo de eventos Baja (v.g., menos de 1/10,000 anualmente) Eventos tales como múltiples fallas de diversos instrumentos o válvulas, múltiples errores humanos en un ambiente libre de tensión o fallas espontáneas de tanques de proceso. Media (v.g., 1/10,000 – 1/1000 anualmente) Eventos tales como fallas de válvulas o instrumentos duales, o importantes liberaciones en áreas de carga/descarga. Alta (v.g., más de 1/1000 anualmente) Eventos tales como fugas en el proceso, fallas de válvulas o instrumentos individuales, o errores humanos que ocasionan pequeñas liberaciones de materiales peligrosos. Adaptado de IEC 61511-3, Tabla C.1 - Frecuencia de probabilidad de eventos peligrosos Consecuencia. El modelo también debe incluir una manera de evaluar y definir las consecuencias para cada categoría en riesgo. Por ejemplo, la siguiente tabla muestra una manera en que se podrían definir las consecuencias en términos del número de lesiones o cantidad de daños materiales. Ejemplo de modelo de evaluación de riesgo para consecuencia: Consecuencias Impacto Menores (v.g., lesiones o más de $100,000 de daños o pérdida de producción) Daños menores al equipo. No hay paro del proceso. Lesiones temporales al personal y daños al medio ambiente. Graves (v.g., hospitalización o más de $250,000 de daños o pérdida de producción) Daños al equipo. Paro breve del proceso. Lesiones graves al personal y al medio ambiente. Extensas (v.g., la muerte o más de $1,000,000 de daños o pérdida de producción) Daños de gran escala al equipo. Paro de un proceso por mucho tiempo. Consecuencias catastróficas al personal y/o al medio ambiente. Adaptado de IEC 61511-3, Tabla C.2 – Criterios de clasificación de la gravedad del impacto debido a eventos peligrosos. Para el ejemplo del tanque de amoniaco, la probabilidad de que haya liberación de amoniaco se determina combinando la probabilidad de riesgos como los que se muestran en “Riesgos inherentes”. En este caso, hemos determinado que el riesgo total de las fugas es medio (entre 1 cambio en 1000 y 1 oportunidad en 10,000). Las consecuencias de tal evento se determinan principalmente por la cantidad de amoniaco liberado y que podría afectar al personal de la planta y al público. En nuestro ejemplo, hemos determinado que una ruptura del tanque y la liberación de amoniaco ocasionada se considerarían graves. Este modelo relativamente sencillo es sólo un ejemplo de cómo se podría evaluar el riesgo. Veremos otro modelo más cuantitativo en el curso SIS 102.
  • 6. Riesgo tolerable Todos sabemos que hay un punto donde el riesgo se vuelve “intolerablemente alto”. Así mismo, sabemos que hay un punto donde el riesgo se vuelve bastante aceptable por ser muy pequeño. Entre esos dos puntos está el área de riesgo tolerable. Cada uno de nosotros toma decisiones acerca de lo que constituye el riesgo tolerable en nuestras propias vidas – por ejemplo, decidir detenerse o avanzar por un semáforo que se acaba de poner en amarillo. (El riesgo de fatalidad de tráfico es de 2 en 1,000 años-persona.) En una planta de procesos, los trabajadores se exponen a menudo a múltiples y simultáneos riesgos. El propósito de un programa de seguridad de la planta – incluyendo los sistemas instrumentados de seguridad – es garantizar que esta exposición sea tolerable en todo momento. Entonces, ¿cuáles son los números adecuados para el riesgo tolerable en el entorno de una planta? Hay una respuesta “correcta”; el propietario/oerador de la planta debe decidir los criterios de riesgo tolerable para la planta. La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en un determinado contexto de acuerdo a los valores actuales de la sociedad. La mayoría de las compañías incluyen las lesiones, las muertes y el dinero entre otros factores que consideran. Las “mejores estimaciones” de qué constituye el riesgo tolerable pueden ser de acuerdo a los resultados de investigación de circunstancias y eventos similares en otras plantas e industrias. Otras veces, los riesgos tolerables están disponibles en fuentes tales como la Administración de Seguridad y Salud Laboral (OSHA, por sus siglas en inglés) de los Estados Unidos <www.osha.gov>, Conferencia Americana de Higienistas Industriales (ACGIH, por sus siglas en inglés) <www.acgih.org>, Agencia de Protección Ambiental (EPA, por sus siglas en inglés) de los Estados Unidos <www.epa.gov> o agencias similares en otros países. Algunas referencias muestran los puntos más altos de riesgo tolerable como 1 fatalidad por 1,000 años de exposición para los trabajadores, y 1 fatalidad por 10,000 años de exposición para el público. Esas mismas referencias clasifican 1 fatalidad por 100,000 años de exposición como riesgo insignificante. Sin embargo, áreas mundiales individuales, países y compañías frecuentemente aplican menores números de riesgo aceptable. El riesgo tolerable está determinado por las consecuencias así como por la probabilidad. Para el ejemplo del tanque de amoniaco, usaremos niveles de esposición humana al amoniaco aceptables localmente. Para los trabajadores en campo en los Estados Unidos, la OSHA dice que la máxima exposición es una concentración atmosférica de 50 partes por millón (ppm) en un período de 8 horas. Es posible que también se tengan que considerar otros límites. Por ejemplo, ¿qué tal si hay una escuela cercana? Para la exposición del público, la ACGIH permite sólo 25 ppm de amoniaco en el mismo período de tiempo. Números como éstos ayudan a determinar la reducción necesaria del riesgo que un sistema instrumentado de seguridad debe lograr – describiremos esto en el siguiente curso. Riesgo intolerablemente alto Riesgo tolerable Riesgo bajo muy aceptable
  • 7. Sumario En este curso usted ha aprendido que: • Los riesgos constan de la probabilidad y de las consecuencias. • Los riesgos inherentes son los que se encuentran en el proceso completo, incluyendo el equipo y los materiales. • La cuantificación del riesgo requiere el uso de un modelo de evaluación de riesgos establecido. • Los riesgos tolerables son los números de lesiones, muertes o pérdida de dinero (y su frecuencia) que estamos dispuestos a aceptar.
  • 8. Página 1 de 6 SIS 102 Reducción del riesgo 15 minutos En este curso: O Generalidades 1 Reducción de riesgo necesaria 2 Nivel de integridad de seguridad (SIL) 3 Capas de protección 4 Sistemas instrumentados de seguridad 5 Poniendo todo junto 6 Sumario Q Examen © 2005 Emerson Process Management. Todos los derechos reservados. Generalidades En el curso anterior aprendimos que los riesgos inherentes son los que se encuentran en el proceso mismo (incluyendo el equipo y los materiales), y los riesgos tolerables están definidos por el número y la frecuencia de lesiones, muertes y pérdidas financieras que estamos dispuestos a aceptar. Cuando el riesgo inherente es mayor que el riesgo tolerable, la primera elección sería eliminar el riesgo. Si no se puede eliminar, debe ser minimizado o mitigado – por medios activos tales como válvulas de alivio o sistemas de seguridad o por medios pasivos tales como diques de contención o contenciones para tanque o tubería. Pero ¿qué tan seguro es suficientemente seguro? Sin un buen entendimiento de los riesgos, es posible caer en la tentación de exagerar los diseños de las soluciones de reducción de riesgos, que pueden consumir las ganancias. Los costos potenciales de un diseño de seguridad escaso pueden ser incluso mayores. Por eso es importante identificar cuánto se deben reducir los riesgos, y luego diseñar una solución que brinde nivel adecuado de protección. Esos son los temas en los que nos concentraremos en este curso. Al final del curso, usted encontrará un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, preste especial atención a lo siguiente: o Los dos enfoques para la determinación de la reducción de riesgos necesaria o El propósito de los niveles de integridad de seguridad o Cómo las capas de seguridad previenen o mitigan los riesgos o Qué constituye un sistema instrumentado de seguridad ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Reducción de riesgo necesaria ¿Qué tanto necesitamos reducir el riesgo? Hay dos maneras de encontrar una respuesta: cuantitativa y cualitativa.
  • 9. Página 2 de 6 Cuantitativa. Podríamos cuantificar todos los riesgos inherentes que están asociados con cada evento peligroso y comparar la suma con el nivel de riesgo que ha sido definido como tolerable. Por ejemplo, es posible que queramos reducir la frecuencia de una fatalidad desde una vez cada 10 años a una vez cada 10,000 años. En otras palabras, queremos reducir el riesgo en un factor de 1000 – por lo cual usted verá frecuentemente referencias al factor de reducción de riesgo (FRR) o RRF. Aunque este enfoque se usa cada vez más a menudo, implica dos retos. • Usted necesita reunir muchos datos para hacer que los cálculos sean significativos. • Usted tiene que expresar niveles cuantificados específicos del riesgo que está preparado para tolerar, tal como una lesión grave por año. Eso puede hacer que la gente – y las compañías – se sientan incómodas. Cualitativa. La segunda manera de evaluar la reducción de riesgo requerida es usar clasificaciones cualitativas como las de los ejemplos de modelos de consecuencia y probabilidad descritos en el curso SIS 101. ¿Recuerda el ejemplo del tanque de amoniaco de ese curso? Allí definimos la probabilidad de una ruptura del tanque como “media” y la consecuencia como “grave”. Hay varias maneras de hacer esta evaluación cualitativa, incluyendo las gráficas de riesgo y las matrices de peligro. Por ejemplo, podemos usar una matriz de peligro como la siguiente para identificar el nivel requerido de reducción de riesgo – en este caso, nivel 2. Chimenea/Antorcha Válvula de alivio Transmisor de presión Sistema de control básico del proceso Transmisor de nivel Válvula de control de nivel Riesgo demasiado alto – rediseñar el proceso No se requiere Alta Baja Media Menores Graves Extensas Consecuencias Probabilidad
  • 10. Página 3 de 6 Generalmente, el personal de gestión de riesgos corporativos desarrolla estas matrices y las recomendaciones para usarlas. Los valores de la matriz se llaman niveles de integridad de seguridad o SILs. El siguiente tema explica qué significan los números de la matriz. Nivel de integridad de seguridad (SIL) Los niveles de integridad de seguridad que se muestran en la matriz anterior identifican el nivel de reducción de riesgo requerido para una función de seguridad en particular. (Una función de seguridad is la capacidad de reducir o eliminar el riesgo de una condición o peligro específicos. En nuestro ejemplo del tanque de amoniaco, es la capacidad de evitar que una condición de presión excesiva ocasione una ruptura en el tanque.) Cada nivel de integridad de seguridad se define como un rango de reducciones de riesgo arreglado en órdenes de magnitud (esto evita tener que hacer un minucioso trabajo de selección): Nivel de integridad de seguridad Factor de reducción de riesgo objetivo 4 >10,000 a ≤100,000 3 >1,000 a ≤10,000 2 >100 a ≤1,000 1 >10 a ≤100 Adaptado de IEC 61511-1 Tabla 3 NOTA: Las aplicaciones clasificadas como nivel de integridad de seguridad 4 (SIL 4) generalmente no se usan en las industrias de procesos, y las normas advierten que no se debe usar un sistema programable individual para aplicaciones SIL 4 Esto nos permite establecer el nivel de integridad de seguridad requerido en una de dos maneras: 1. Podemos evaluar las consecuencias y la probabilidad de un peligro en términos cualitativos, como lo hicimos en la página anterior de este curso. Eso nos proporciona una amplia idea de la reducción de riesgo requerida. Por ejemplo, una evaluación cualitativa indica que un requerimiento de nivel de integridad de seguridad 2 significa que necesitamos reducir el riesgo en un factor entre 100 y 1000. 2. Podemos calcular con precisión la reducción de riesgo requerida, que nos proporciona el nivel de integridad de seguridad de la función de seguridad en cuestión. Por ejemplo, si nuestros cálculos indican que nuestro factor de reducción de riesgo requerido es 500, entonces sabemos que necesitamos proporcionar un nivel de protección SIL 2. Un beneficio clave de la norma IEC 61511 es que ayuda a los usuarios finales a implementar el nivel de seguridad adecuado al menor costo. La evaluación precisa de los riesgos y la determinación de la asignación SIL adecuada para cada función de seguridad le ayuda a usted a evitar invertir en más – o menos – protección de la que necesita. Capas de protección Entonces, ¿cómo logramos el nivel necesario de reducción de riesgos? Agregando capas de protección. Las normas de seguridad definen una capa de protección como “cualquier mecanismo independiente que reduce el riesgo mediante el control, la prevención o la mitigación”. La suma de las capas de protección proporciona lo que se llama seguridad funcional – la funcionalidad que garantiza que no se tendrá riesgo inaceptable. El control del proceso (para evitar situaciones que pudieran conducir a incidentes) se proporciona generalmente mediante un sistema de control básico del proceso (BPCS). El BPCS es cualquier sistema que responda a señales de entrada para controlar un proceso. En la mayoría de los casos se basa en controlador(es) de lazo, un SCD, un PLC o un sistema de automatización híbrido.
  • 11. Página 4 de 6 Además, capas de protección independientes para prevención y mitigación podrían incluir las mostradas en este diagrama. El ejemplo del tanque de amoniaco ya tiene un sistema de control básico del proceso y una válvula de alivio instalados. El sistema de control básico del proceso ayuda a prevenir condiciones tales como una presión excesiva en el tanque que pudiera ocasionar una liberación de amoniaco. La válvula de alivio ventila el exceso de vapor de amoniaco a la chimenea/antorcha – evitando una ruptura del tanque y un mayor derrame, pero con el riesgo de exponer al personal de la planta y al público a vapores de amoniaco dañinos. Lo que necesitamos es otra capa de protección, una que evite que la situación alcance un punto donde se necesite la válvula de alivio. Esa capa es un sistema instrumentado de seguridad (SIS) – un término que incluye soluciones que también se pueden llamar sistemas de paro de emergencia, sistemas de paro de seguridad, sistemas de fuego y gas o sistemas de gestión de quemador. Sistemas instrumentados de seguridad El sistema instrumentado de seguridad (SIS) proporciona una capa de protección independiente que está diseñado para llevar al proceso a un estado seguro cuando ocurre una condición peligrosa. Donde se use, es una parte integral de las operaciones de la planta y, para algunas plantas, puede ser un requisito normativo. Mitigar Prevenir Respuesta de emergencia y planta Dique Válvula de alivio, disco de ruptura Sistema instrumentado de seguridad Sistema instrumentado de seguridad Intervención del operador Sistema de control básico del proceso Sistema de fuego y gas Paro de emergencia Capa de respuesta de emergencia Capa de protección pasiva Capa de protección activa Capa de seguridad Capa de seguridad Alarma de nivel de disparo Alarma de proceso Paro del proceso Capa de control del proceso Valor del proceso Capa de control del proceso Comportamiento normal Mitigar Prevenir Respuesta de emergencia y planta Dique Válvula de alivio, disco de ruptura Intervención del operador Sistema de control básico del proceso Capa de respuesta de emergencia Capa de protección pasiva Capa de protección activa Alarma de nivel de disparo Alarma de proceso Paro del proceso Capa de control del proceso Valor del proceso Capa de control del proceso Comportamiento normal
  • 12. Página 5 de 6 Un sistema instrumentado de seguridad está compuesto de cualquier combinación de sensor(es), solucionador(es) lógicos y elemento(s) final(es). Los tres componentes deben estar presentes – y funcionando adecuadamente – para que el sistema haga su trabajo. A pesar de su similitud estructural con un sistema de control de procesos básico, el sistema instrumentado de seguridad es fundamentalmente diferente a un sistema de control básico del proceso. El sistema de control básico del proceso existe para obtener un producto de calidad al mantener el proceso funcionando sin problemas. El sistema instrumentado de seguridad, por otro lado, existe para supervisar que no haya condiciones del proceso peligrosas y para tomar las medidas adecuadas – generalmente, parando el proceso. El sistema instrumentado de seguridad también está separado del sistema de control básico del proceso. Esta separación refleja no sólo sus diferentes funciones, sino también la importancia de mantener la integridad del sistema instrumentado de seguridad incluso cuando se cambia con frecuencia el sistema de control básico del proceso. Las normas de seguridad permiten que haya comunicaciones controladas cuidadosamente entre los componentes y los sistemas, así que se puede implementar una instalación integrada, pero independiente, del sistema de control básico del proceso y el sistema instrumentado de seguridad. La ventaja PlantWeb Emerson ha extendido las comprobadas innovaciones de su arquitectura digital PlantWeb a los sistemas instrumentados de seguridad. El sistema instrumentado de seguridad inteligente de Emerson es el primero en proporcionar un enfoque integrado para lazos de seguridad completos – desde sensor a solucionador lógico a elemento final de control – para que usted pueda evitar los riesgos y los dolores de cabeza por combinar los componentes independientes. También es el primero en usar la inteligencia digital para permitir más pruebas de lazo de seguridad automatizadas, más diagnósticos de equipo y otras características que incrementan la disponibilidad del sistema a la vez que reducen los costos de operación y facilitan el cumplimiento normativo. El diseño inteligente también permite niveles adecuados de integración con el sistema de automatización digital DeltaV de Emerson cuando se usa como el sistema de control básico del proceso – por ejemplo, usando la misma interfaz de operador y las mismas herramientas de configuración – a la vez que mantiene la separación requerida por las normas de seguridad. Poniendo todo junto Solucionador lógico Sensor Elemento final
  • 13. Página 6 de 6 Veamos cómo todo lo que hemos aprendido hasta ahora se aplica al ejemplo del tanque de amoniaco. Si el tanque de amoniaco tiene una condición de presión excesiva (un error funcional), se satisfará la seguridad funcional si los sistemas de prevención o protección reducen la presión del tanque a un valor que esté dentro de los límites operativos establecidos de seguridad antes de que se necesiten los sistemas de mitigación. Anteriormente, en este curso, determinamos que el objetivo de seguridad funcional para el sistema instrumentado de seguridad del tanque de amoniaco es SIL 2. Esto significa que el nivel objetivo de la reducción del riesgo debe estar entre 100 y 1000. Consideraremos que el sistema de control básico del proceso agrega algún nivel de reducción del riesgo, aunque la norma IEC 61511 nos dice que el nivel máximo de reducción del riesgo de un sistema de control no relacionado con la seguridad es un factor de 10. Aunque no queremos incurrir en el gasto de exagerar el diseño del sistema instrumentado de seguridad, también queremos asegurarnos de tener la protección adecuada. Entonces, seremos un poco conservadores en nuestras suposiciones: 1. Factor de reducción de riesgo total requerido (RRF) = 1,000 2. Factor de reducción de riesgo asignado al sistema de control básico del proceso = 2 3. La válvula de alivio no será considerada, porque si se activa existe un riesgo de que los estudiantes de la escuela cercana estén expuestos a los vapores de amoniaco que se liberan. El factor de reducción de riesgo total es el producto de los factores de reducción de riesgo de todas las capas de protección independientes. En nuestro ejemplo, el factor de reducción de riesgo requerido del nuevo sistema instrumentado de seguridad es 1,000 / 2 = 500, que corresponde a una clasificación SIL 2 (entre 100 y 1,000). Si se reduce el riesgo en menos de este valor, se tendrá una probabilidad de peligro intolerablemente alta. Pero si se implementa una función de seguridad mayor (por ejemplo, una que proporcione un nivel de protección SIL 3), se agregan costos innecesarios para el diseño, compra, instalación, pruebas y mantenimiento del sistema instrumentado de seguridad. Sumario En este curso usted ha aprendido que: • La reducción del riesgo necesaria se puede determinar usando métodos cuantitativos o cualitativos. • Los niveles de integridad de seguridad (SIL) son representaciones estadísticas de la reducción del riesgo necesarias para alcanzar el riesgo tolerable. • Las capas de protección independientes son los mecanismos que controlan, previenen o mitigan una condición peligrosa. • Un sistema instrumentado de seguridad (SIS) usa sensores, solucionadores lógicos y elementos finales de control para supervisar que no haya condiciones peligrosas en el proceso, y para llevar al proceso a un estado seguro si es necesario.
  • 14. Página 1 de 9 SIS 103 Normas de seguridad 15 minutos En este curso: O Generalidades 1 Un nuevo enfoque 2 De IEC 61508 surgió IEC 61511 3 ¿Qué hay de S84? 4 Modelos de ciclo de vida 5 Aplicación del modelo en 61511 6 Recursos para cumplimiento 7 Beneficios del cumplimiento 8 Sumario Q Examen © 2005 Emerson Process Management. Todos los derechos reservados. Generalidades Si su planta o proceso todavía no está usando normas de seguridad tales como IEC 61508, IEC 61511 y/o ANSI/ISA S84.00.01-2004, lo más probable es que lo hará en un futuro cercano. Aunque al principio usted piense que son fuentes de papeleo, molestias y dolores de cabeza, estas normas juegan un papel vital para hacer que su planta sea segura – y mantenerla así. Su disciplinado enfoque también puede ayudar a garantizar que su sistema de control del proceso, sus procedimientos operativos y de mantenimiento y sus sistemas de seguridad estén en armonía de tal manera que se logre un mejor rendimiento operativo. Este curso introduce las normas de seguridad más relevantes – IEC 61508, IEC 61511 y ANSI/ISA S84.00.01- 2004 – y explica por qué cumplir con ellas tiene sentido desde un punto de vista de negocios. ¿Qué significan todos esos acrónimos? IEC – Comisión Electrotécnica Internacional <www.iec.ch> ISA – Sociedad de Instrumentación, Sistemas y Automatización <www.isa.org> ANSI – Instituto Nacional Americano de Normas <www.ansi.org> Al final del curso, usted encontrará un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, preste especial atención a lo siguiente: • Cómo han cambiado las normas de seguridad. • Qué norma es su mejor elección para nuevas aplicaciones de seguridad • Los beneficios de modelos de ciclo de vida basados en normas • Qué clases de recursos se requieren para el cumplimiento • Los beneficios clave del cumplimiento ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Un nuevo enfoque
  • 15. Página 2 de 9 En el pasado, las normas de seguridad se desarrollaban para una aplicación, industria o país específicos. Por ejemplo, ANSI P1.1-1969 es una norma de concenso en la industria emitida por el Instituto Nacional Americano de Estándares) que define los requisitos de seguridad para las fábricas que producen pulpa, papel y cartón. El principal problema con este enfoque es que las plantas, e incluso industrias completas, se han encontrado tratando de cumplir con múltiples normas de seguridad que se traslapan, a menudo desarrolladas usando filosofías de diseño y arquitectura completamente diferentes. Agregue las diferencias de normas nacionales o regionales; con todo esto es casi imposible estar seguro de que se ha logrado el cumplimiento. Las normas de seguridad más recientes, sin embargo, han sido desarrolladas usando un enfoque que se concentra en la reducción del riesgo y en el establecimiento de un grado definido de excelencia operacional en cada etapa del ciclo de vida del proyecto de seguridad. Este enfoque de ciclo de vida basado en el rendimiento produce una norma que se acopla más fácilmente con otras normas, logrando así que sean más atractivas y aceptadas. También es más fácil producir resultados de alta calidad al menor costo posible. Para las industrias de procesos, las normas de seguridad relevantes son IEC 61508, IEC 61511 y ANSI/ISA S84.00.01-2004 (S84). Cada una de estas normas define qué se requiere para lograr el cumplimiento normativo, pero en el caso de IEC 61511 y S84, éstas dejan los detalles de cómo lograr el cumplimiento a los propietarios y operadores de las plantas. De IEC 61508 surgió IEC 61511 Entonces, ¿por qué la IEC tiene dos normas de seguridad? IEC 61508 (Partes 1 – 7), titulada Functional safety of programmable electronic safety-related systems (Seguridad funcional de sistemas electrónicos programables relacionados con la seguridad), es una norma de seguridad completa, global y funcional que está basada en rendimiento y aplica a los fabricantes e implementadores de sistemas de seguridad funcionales en una amplia gama de industrias. En Europa, las siete partes de IEC 61508 se publicaron como EN 61508, y todas las normas nacionales CENELEC o CEN en conflicto fueron retiradas subsecuentemente. IEC 61508 fue usada por algunas plantas de la industria de procesos para implementar sistemas instrumentados de seguridad (SIS) que cumplieran con los requisitos normativos. Sin embargo, los que adoptaron la industria de procesos tempranamente notaron que la norma era incómoda y no era clara para la interpretación sobre cómo lograr el cumplimiento en estas industrias. Después de una cuidadosa consideración, el comité de normas IEC extrajo las secciones relevantes de IEC 61508, las armonizó y las volvió a redactar para formar la norma IEC 61511 específicamente para industrias de procesos. El resultado es que IEC 61511 proporciona guía de las industrias de procesos y ejemplos de cómo se implementa la norma – a la vez que sigue garantizando que se logre el cumplimiento dentro del marco establecido en IEC 61508. Este enfoque hizo que la norma IEC 61511, Functional safety: Safety instrumented systems for the process industry sector (Seguridad funcional: Sistemas instrumentados de seguridad para el sector de las industrias de procesos), sea la norma de seguridad que elijen las industrias de procesos – como se hace evidente mediante el creciente número de referencias a ella por parte de las agencias de seguridad en China, Irlanda, Italia, India, Noruega, Reino Unido y los Estados Unidos; el número de ponencias que presentan los usuarios finales en conferencias y simposios; y las referencias en los sitios web de los fabricantes de sistemas de control.
  • 16. Página 3 de 9 Aunque las plantas todavía tienen la opción de aplicar la norma IEC 61508, su uso principal es por parte de los fabricantes de instrumentación y de sistemas de control que desarrollan y venden dispositivos SIS certificados para usarlos en las aplicaciones que cumplen con IEC 61511. ¿Qué hay de S84? Muchas normas nacionales han sido reemplazadas por IEC 61508 y 61511. Un ejemplo es la norma de seguridad ANSI/ISA S84.01 que se usó ampliamente en los Estados Unidos. Hace varios años, después de un desconcertante número de accidentes, los expertos en seguridad en la industria de procesos comenzaron una profunda revisión de las normas de seguridad existentes. Incidentes que condujeron a las normas de seguridad mejoradas 1968 Refinería en Pernis, Países Bajos 2 muertos, 85 lesionados 1974 Flixborough, Reino Unido 28 muertos, cientos de lesionados 1976 Seveso, Italia 700 lesionados 1984 Bhopal, India 2,500 muertos, 100,000 lesionados 1998 Piper Alpha, Mar del Norte 165 muertos, 61 lesionados Entre sus conclusiones estaba la de que las normas existentes eran demasiado específicas a la industria y limitaban la habilidad de los expertos en seguridad de compartir las mejores prácticas. A partir de sus descubrimientos se formó el comité ISA SP84. Casi inmediatamente, los miembros del comité estuvieron de acuerdo en que un enfoque de normas más adecuado sería usar un modelo de ciclo de vida basado en rendimiento. El resultado de su trabajo fue ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems for the Process Industries (Aplicación de sistemas instrumentados de seguridad para las industrias de procesos) (S84). Sin embargo, más recientemente, la norma S84 ha sido armonizada con IEC 61511, con una excepción: ANSI/ISA S84.00.01-2004 incluye una cláusula tipo “abuelo” que permite que las instalaciones que actualmente usan la versión 1996 de S84 continúen haciéndolo – siempre y cuando se determine que el equipo de seguridad se diseñe, se mantenga, se inspeccione, se pruebe y se opere en una manera segura. Por lo tanto, a menos que ya esté usando la norma S84, su mejor elección sería dejar la antigua norma ANSI/ISA y adoptar IEC 61511 – que es lo mismo que S84-2004.
  • 17. Página 4 de 9 Modelos de ciclo de vida Un modelo de ciclo de vida proporciona una estructura para una serie de procesos para crear o actualizar un producto o un servicio. Los modelos de ciclo de vida pueden tomar muchas formas, pero cada una proporciona una estructura para enfocarse en las incontables tareas involucradas en la creación y gestión de un complejo producto o servicio. Un importante beneficio de una norma basada en ciclo de vida es la facilidad que proporciona para usar e integrar otras normas o prácticas basadas en ciclo de vida. Como se muestra en la tabla, tales modelos son usados o recomendados por un número de agencias regulatorias y otros organismos. Organizaciones y agencias que recomiendan el uso de modelos de ciclo de vida Organización Internacional de Normas (ISO) Calidad del producto y del servicio Oficina Ejecutiva de Salud y Seguridad del Reino Unido Actividades relacionadas con la seguridad Administración de Drogas y Alimentos de los Estados Unidos Producción y aprobación de nuevas drogas Instituto de Ingeniería de Software Software de alta disponibilidad Administración de Seguridad y Salud Laboral (OSHA) de los Estados Unidos Seguridad de los trabajadores Agencia de Protección Ambiental de los Estados Unidos Protección ambiental Por ejemplo, el Instituto de Ingeniería de Software <www.sei.cmu.edu> ha desarrollado un número de modelos de ciclo de vida de software, varios de los cuales se usan para crear software “que sobreviva” – es decir, software de aplicación crítico a la misión que requiera seguridad, tolerancia a fallas, seguridad, fiabilidad, reuso, rendimiento, verificación y pruebas. Similarmente, las buenas prácticas de fabricación basadas en ciclo de vida son integrales a las industrias donde la calidad del producto es esencial, como las reguladas por la Administración de Drogas y Alimentos de los Estados Unidos. Además de facilitar la integración de tales normas, la disciplina proporcionada por el enfoque de ciclo de vida ayuda a producir resultados de alta calidad al menor costo posible. Aplicación del modelo en 61511 IEC 61511 permite personalizar el modelo de ciclo de vida para ajustarse a sus prácticas actuales – siempre y cuando se cumpla con los requisitos normativos. Un enfoque usa cinco etapas principales de ciclo de vida para atender estos requisitos, además de un proceso de verificación y documentación a lo largo del ciclo:
  • 18. Página 5 de 9 Etapa de ciclo de vida Requisitos de IEC 61511 1. Ingeniería básica del proyecto y diseño conceptual o Evaluación de peligro y riesgo (Cláusula 8) o Asignación de funciones de seguridad a capas de protección (Cláusula 9) o Especificación de requisitos de seguridad para sistemas instrumentados de seguridad (Cláusulas 10 y 11) 2. Diseño e ingeniería detallados o Diseño e ingeniería de sistemas instrumentados de seguridad (Cláusulas 11 y 12.4) o Construcción del sistema instrumentado de seguridad, integración y pruebas FAT (Cláusula 13) 3. Instalación y puesta en marcha o Instalación y comisionamiento de sistemas instrumentados de seguridad (Cláusula 14) o Validación de seguridad de sistemas instrumentados de seguridad (Cláusulas 12.3, 12.7 y 15) 4. Provisión de seguridad funcional o Operaciones y mantenimiento de sistemas instrumentados de seguridad (Cláusula 16) 5. Modificación y actualización o Modificación de sistemas instrumentados de seguridad (Cláusula 17) - Verificación y documentación (incluidas en cada etapa) o Verificación (Cláusulas 7, 12.4 y 12.7) o Documentación (Cláusula 19) Juntas, estas actividades permiten cumplir con el requisito central de la norma IEC 61511: Gestión de seguridad funcional o Gestión de seguridad funcional y evaluación y auditoría de la seguridad funcional (Cláusula 5) o Estructura de ciclo de vida de seguridad (Cláusula 6.2)
  • 19. Página 6 de 9 Ingeniería básica del proyecto y diseño conceptual • Crear diseño conceptual del proceso • Identificar peligros potenciales Diseño detallado • Diseño detallado de - instalación de dispositivos de campo del SIS - hardware de solucionadores lógicos del Instalación y puesta en marcha • Instalar los dispositivos de campo del SIS • Instalar los solucionadores lógicos del SIS • Integrar el SIS en el Modificación y actualización Diseño detallado y construcción Instalación y Puesta en marcha Provisión de seguridad funcional Gestión de seguridad funcional Diseño conceptual del proceso e ingeniería básica del proyecto Gestión de seguridad funcional Instalación y Puesta en marcha Modificación y actualización Diseño detallado y construcción Provisión de seguridad funcional Diseño conceptual del proceso e ingeniería básica del proyecto
  • 20. Página 7 de 9 • Asignar requisitos de seguridad • Decidir si se requiere un sistema instrumentado de seguridad (SIS) • Identificar niveles de riesgo tolerable y seleccionar niveles de integridad de seguridad objetivos • Crear una especificación de requisitos de seguridad • Seleccionar la tecnología, arquitectura y filosofía de pruebas de aceptación • Calcular el nivel de integridad de seguridad (SIL) para cada función de seguridad SIS - Software del SIS • Verificación del diseño • Construcción y verificación del hardware del solucionador lógico • Configuración del software del SIS y pruebas de la función de seguridad • Integración del solucionador lógico del SIS • Verificación de la integración (FAT) • Crear la documentación de la instalación y del comisionamiento • Crear la documentación de las operaciones y del mantenimiento sistema de control básico del proceso según se requiera • Verificar la instalación • Comisionar el SIS • Validar el SIS Provisión de seguridad funcional • Operar y dar mantenimiento al SIS de acuerdo con los procedimientos documentados • Realizar las pruebas de aceptación como se define en el diseño para verificar la operación del SIS Modificación y actualización • Se evalúa el alcance de la modificación • Si el cambio no afecta el caso de seguridad, entonces se hace el cambio, y se completa toda la verificación requerida y se cambian los procedimientos de gestión • Si el cambio es significativo, entonces se repite el ciclo de vida de seguridad Recursos para cumplimiento Obviamente, decir que su compañía está comprometida a proporcionar un entorno de trabajo seguro no es suficiente. La gerencia tiene que proporcionar los recursos necesarios para cumplir ese compromiso – incluyendo los fondos adecuados, el personal y la capacitación. Eso es parte de la construcción del entorno y de la cultura que deben existir antes de que se pueda lograr el cumplimiento con IEC 61511. La norma IEC 61511 requiere que haya personas con conocimiento y experiencia demostrados sobre ingeniería de seguridad adecuadas para el proceso y para las tecnologías de SIS que se estén usando. La norma también dice que la gente asignada para la ingeniería, diseño e implementación de los sistemas de seguridad deben tener o capacitación adecuada, o habilidades de gerencia y liderazgo adecuadas a su papel en las actividades de ciclo de vida de seguridad, y o conocimiento de los requerimientos regulatorios legales y de seguridad aplicables. Entonces, esto se convierte en el trabajo de estos profesionales de seguridad establecer evidencia documentada de que se ha definido, alcanzado y mantenido adecuadamente el cumplimiento con la norma de seguridad IEC.
  • 21. Página 8 de 9 Si usted no tiene todos los recursos correctos internamente, los proveedores y consultores conocedores le pueden ayudar. IEC 61511 es una norma internacional, su modelo de ciclo de vida es bien comprendido, y se aplica a un gran número de compañías. A medida que el número de compañías que lo usa aumenta, el número de recursos confiables también aumentará – haciendo que sea más fácil encontrar ayuda calificada. La ventaja PlantWeb Como proveedor del primer sistema instrumentado de seguridad inteligente en el ramo, Emerson también ofrece una amplia gama de servicios para ayudarle a garantizar que su sistema de seguridad proporcione la protección que necesita ... y que continúe proporcionándola. Estos servicios – incluyendo análisis y diseño, implementación, mantenimiento y modificación – abarcan el ciclo de vida completo de su sistema, con cumplimiento certificado por TUV con las mejores prácticas de IEC 61511. Si usted quiere, también podemos capacitar a su personal para que aproveche al máximo su sistema instrumentado de seguridad, o podemos proporcionar acceso a los ingenieros de seguridad de Emerson en campo en su planta para soporte y mantenimiento. Beneficios del cumplimiento Dependiendo de dónde esté ubicado, es posible que la conformidad con IEC 61511 ó con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir tiene sentido. Por algo, el comité que desarrolló la norma IEC 61511 incluyó expertos de seguridad reconocidos mundialmente que combinaron su conocimiento y experiencia para crear la norma. El resultado es un riguroso conjunto de “mejores prácticas” para diseñar, implementar, verificar, operar y mantener sistemas instrumentados de seguridad robustos y fiables. En breve, es una buena manera de ayudar a garantizar la seguridad de su planta y de su comunidad, a la vez que se minimizan los costos de operación. Pero incluso cuando sí ocurren incidentes de seguridad, el hecho de haber cumplido con la norma puede ser útil. Las investigaciones posteriores a un accidente o liberación de material al medio ambiente a menudo involucran agencias gubernamentales que tienen la autoridad de imponer multas, enviar a la gente a la cárcel, clausurar un establecimiento – o las tres cosas. Entre las preguntas que ellos pueden hacer, se encuentran las siguientes: o ¿Ha ocurrido esta clase de incidente en esta compañía o establecimiento anteriormente? o ¿Qué procesos proactivos se usaron para identificar los riesgos? o ¿Qué métodos se usaron para cuantificar los riesgos? o ¿Qué acciones se tomaron para mitigar los riesgos? o ¿Qué proceso se siguió para garantizar que se desplegara la mitigación adecuadamente? o ¿Qué procesos están implementados para garantizar que la solución de mitigación continúe funcionando como se espera? Las respuestas a esas clases de preguntas son exactamente lo que se produce usando la norma IEC 61511. Es posible que usted se enfrente todavía a una dura investigación, pero si puede demostrar que se definió, se logró y se mantuvo adecuadamente el cumplimiento con la norma de seguridad de IEC, usted también reducirá el riesgo de que la agencia de investigación envíe a alguien a prisión o de que clausure la planta. Agencies que respaldan IEC 61511 incluyen • Factory Mutual Insurance Company www.fmglobal.com • Administración de Seguridad y Salud Laboral (OSHA) de los Estados Unidos www.osha.gov • Agencia de Protección Ambiental (EPA) de los Estados Unidos www.epa.gov • Automation, Software and Information Technology ASI of TÜV Industrial Services GmbH www.tuvasi.com • Oficina Ejecutiva de Salud y Seguridad (HSE) del Reino Unido www.hse.gov.uk
  • 22. Página 9 de 9 Sumario En este curso usted ha aprendido que: o Para las industrias de procesos, las normas de seguridad claves son IEC 61508, IEC 61511 y ANSI/ISA S84.00.01-2004. o Actualmente, en las industrias de procesos, la norma IEC 61511 ó la nueva S84 es la mejor elección para que los usuarios finales implementen un proyecto de seguridad u operen y mantengan un sistema de seguridad. o Las tres normas usan un modelo de ciclo de vida basado en el rendimiento, lo que hace más fácil integrarlas con otras normas – y producir resultados de alta calidad al menor costo posible. o IEC 61511 permite alguna libertad de personalizar el modelo de ciclo de vida para satisfacer sus necesidades, siempre y cuando usted cumpla con los requisitos de la norma. Hacerlo requiere que se proporcionen los fondos adecuados, el personal y la capacitación. o Además de ayudar a mantener la seguridad de su planta, personal y comunidad, el cumplimiento con las normas puede hacer más fácil lidiar con las investigaciones después de un incidente de seguridad.
  • 23. SIS 201 Diseño físico 15 minutos O Generalidades 1 Componentes y subsistemas esenciales 2 Componentes y subsistemas no esenciales 3 ¿Certificado o comprobado en uso? - Certificado - Comprobado en uso 4 Probabilidad de falla cuando se necesita el sistema 5 Pruebas de aceptación 6 Diagnósticos 7 Alertas y alarmas inteligentes 8 Sumario Generalidades Así como un sistema de control básico de proceso (BPCS) es más que un controlador, un sistema instrumentado de seguridad (SIS) es más que un PLC de seguridad. Sus componentes físicos principales son sensores, solucionadores lógicos y elementos finales de control. En este curso se describe por qué estos componentes son considerados esenciales y otros no, así como la manera en que la diferencia puede afectar a sus decisiones de diseño. También veremos dos maneras de establecer que los componentes físicos son adecuados para aplicaciones de seguridad, el papel que juegan las pruebas para garantizar que los componentes funcionarán cuando se necesite, y cómo informar a las personas adecuadas cuando hay una indicación de que los componentes no están funcionando. A lo largo del curso, estaremos viendo maneras de garantizar que su sistema instrumentado de seguridad cumpla con los requisitos sin que cueste más de lo necesario. Al final del curso, usted puede usar el examen para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Preste especial atención a lo siguiente: • Cómo se puede ahorrar tiempo y dinero al distinguir entre los componentes esenciales y los no esenciales. • Qué se requiere para usar dispositivos de seguridad no certificados. • Cómo afecta la probabilidad de falla en demanda (PFD, probabilidad de que el sistema falle cuando se le necesita) a la selección de los componentes • Efectos potenciales de diferentes frecuencias de pruebas. ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación para ir al primer tema.
  • 24. Componentes y subsistemas esenciales A menudo, cuando se diseña y se especifica un sistema de control básico de sistema (BPCS), se tiende a comprar tanta funcionalidad y capacidad – las características atractivas – para el BPCS como lo permite el presupuesto. Sin embargo, cuando se diseña y se especifica un sistema instrumentado de seguridad (SIS) no se habla tanto sobre las características atractivas que sobre los componentes y subsistemas esenciales y no esenciales. Comprender la diferencia le ayuda a diseñar un sistema con el nivel de integridad de seguridad (SIL) correcto – sin exagerar el diseño de la solución. Los elementos esenciales son los componentes SIS y los elementos asociados necesarios para llevar a cabo la función instrumentada de seguridad – incluyendo sensores, solucionadores lógicos, elementos finales de control, fuentes de alimentación y módulos de E/S. Estos son los elementos que deben cumplir con los requisitos definidos de nivel de integridad de seguridad (SIL). Componentes esenciales – en este ejemplo, los que se encuentran dentro del área amarilla – son los sensores, solucionadores lógicos, elementos finales de control y otro equipo necesario para llevar a cabo la función instrumentada de seguridad. Estación de ingeniería Estación de operador Solucionador lógico Sistema instrumentado de seguridad Sensor Sensor Válvula
  • 25. Componentes y subsistemas no esenciales Como acabamos de aprender, los componentes y subsistemas SIS esenciales son los necesarios para llevar a cabo la función instrumentada de seguridad (SIF). Los componentes no esenciales (conocidos también como “no interferentes”) proporcionan soporte para diseñar y dar mantenimiento al sistema instrumentado de seguridad, pero su presencia o ausencia no interfiere con el funcionamiento del sistema instrumentado de seguridad. Los ejemplos incluyen estaciones de ingeniería, multiplexores HART, calibradores portátiles y estaciones de mantenimiento. Aunque tales componentes pueden soportar la función de seguridad, no la ejecutan. Como resultado, no tienen que cumplir con los requisitos de nivel de integridad de seguridad (SIL) – siempre y cuando usted pueda demostrar que éstos no introducir fallas peligrosas en el sistema instrumentado de seguridad. Los componentes no esenciales – como los que se encuentran fuera del área amarilla en este diagrama – no tienen que cumplir con los requisitos de nivel de integridad de seguridad (SIL). En la mayoría de los casos, tal como en una estación de ingeniería, es obvio que el componente o subsistema no es esencial. Otros pueden ser menos obvios. Vea otra vez la ilustración anterior. En la práctica, el multiplexor HART incluye un panel de terminales de E/S donde se usan resistencias para extraer la información digital de la señal del sensor de 4-20 mA. Debido a que la señal del sensor no pasa a través de la electrónica del multiplexor para llegar al solucionador lógico, la electrónica del multiplexor no se considera como parte del sistema instrumentado de seguridad, y por lo tanto no tiene que cumplir con los requisitos de nivel de integridad de seguridad. Una falla en las resistencias podría afectar la seguridad, entonces éstas deben ser incluidas en los cálculos de nivel de integridad de seguridad. Usted puede usar el siguiente diagrama para ayudar a determinar si un componente o subsistema es esencial o no. Haga clic en la imagen para ampliarla. Estación de ingeniería Estación de operador Solucionador lógico Sistema instrumentado de seguridad Sensor Sensor Válvula Estación de mantenimiento Multiplexor
  • 26. ¿Certificado o comprobado en uso? Las normas de sistemas de seguridad IEC y ANSI/ISA le proporcionan dos opciones cuando selecciona dispositivos de sistema de seguridad: • Usar dispositivos que han sido certificados independientemente como conformes con las normas, o • Producir documentación histórica que demuestre que un dispositivo no certificado puede ser usado en un sistema instrumentado de seguridad. Esta opción se llama comúnmente “uso anterior” o “comprobado en uso”. Veamos cada una de estas opciones con más detalle. ¿Es esto esencial? ¿Puede su falla afectar la seguridad o la disponibilidad? ¿Puedo tolerar el efecto en el valor de SIL? Ejemplo: estación Ejemplo: resistencias en el multiplexor HART Ejemplo: - Solucionador lógico - Válvula - Sensor - Fuentes de alimentación Ignorar Corregir la práctica operacional o rediseñar el sistema instrumentado de seguridad Incluir en el nivel de integridad de seguridad (SIL) No No No Sí Sí Sí
  • 27. ¿Certificado o comprobado en uso? Certificado Certificado. Para lograr el estatus certificado, el fabricante del dispositivo lo envía para ser sometido a un amplio análisis por parte de un tercero para verificar que cumpla con IEC 61508. Estos terceros se conocen como organismos certificadores notificados. La evaluación incluye pruebas y análisis del hardware, software y procesos de ingeniería y fabricación del dispositivo, y busca establecer o cómo el dispositivo reacciona a una amplia gama de condiciones de falla potenciales o si el dispositivo produce errores bajo esas condiciones o si esos errores se pueden detectar en forma rutinaria o si los errores son seguros o no seguros Los dispositivos certificados siempre incluyen un Manual de seguridad que informa al usuario final cómo instalar, configurar y operar de manera segura el dispositivo certificado. El manual de seguridad también identifica las limitaciones de la funcionalidad del dispositivo – en otras palabras, qué cosa no hará. (Por esa razón, un pequeño manual puede ser una indicación de un buen dispositivo.) Si usted no tiene un historial de uso anterior para el dispositivo funcionando bajo condiciones similares, el use de dispositivos SIS certificados es a menudo la solución con mejor relación costo-beneficio. ¿Certificado o comprobado en uso? Comprobado en uso Comprobado en uso. Para lograr la aprobación de comprobado en uso, el fabricante del dispositivo debe comprobar que tiene un sistema de calidad o de gestión de cambios para el dispositivo específico. Luego, usted tiene que documentar que tiene el mismo dispositivo funcionando bajo condiciones similares a las del sistema instrumentado de seguridad propuesto, tal como con un sistema de control básico del proceso (BPCS). Además, usted debe documentar el historial de uso y fallas del dispositivo para determinar el tiempo medio entre fallas (TMEF o MTBF –por sus siglas en inglés). Esta documentación debe soportar • Su declaración de que el dispositivo es capaz de cumplir con los requisitos SIL definidos, y • Los números de probabilidad de falla en demanda (PFD) – descritos en el siguiente tema – que usted usa para calcular el nivel de integridad de seguridad (SIL) del lazo. El uso anterior documenta el historial del dispositivo bajo condiciones de uso reales. Estas condiciones se deben extender más allá del dispositivo para incluir las conexiones del proceso, los elementos primarios y las prácticas de instalación. Para las plantas que tienen estos datos disponibles, el uso anterior puede a menudo cumplir con los requisitos de seguridad necesarios con una mejor relación costo-beneficio. Como regla del pulgar, los dispositivos más complejos deben ser certificados. Si un dispositivo es programable, entonces es muy probable que sea complejo. La ventaja PlantWeb La ventaja PlantWeb El controlador de válvula digital Fisher FIELDVUE DVC6000 de Emerson ha sido certificado por TÜV para usarse en aplicaciones SIL 3, y los transmisores de presión/presión diferencial 3051S y de temperatura 3144P de Rosemount han sido certificados por TÜV para usarse en aplicaciones SIL 2 (aplicaciones SIL 3 cuando se usan en forma redundante).
  • 28. La colección y mantenimiento de datos de uso anterior puede ser desafiante y costoso. Eso es porque Los fabricantes cambian los diseños del producto, que puede impedir que usted confíe en la experiencia de usar un diseño anterior. Tradicionalmente, los proveedores no han dado a los usuarios manuales de seguridad que muestren cómo usar adecuadamente los productos en aplicaciones de seguridad y cómo hacerles pruebas de aceptación. Es posible que haya pocos o nada de datos de falla de seguridad disponibles sobre el producto. Para muchos dispositivos de Emerson, sin embargo, Emerson puede ayudar a los usuarios a colectar y gestionar los datos que necesitan para construir su caso de uso anterior, incluyendo Efectos de modo de falla y análisis de diagnóstico (FMEDA) para mostrar los modos de falla (peligroso o seguro) y las tasas de falla Cálculos de beta para proporcionar probabilidades de falla de causa común Manuales de seguridad para proporcionar instrucciones sobre el uso adecuado y procedimientos de pruebas Prueba de la gestión de cambios Prueba de horas de operación Seguimiento en línea de los cambios de hardware y software Notificaciones de cambio de hardware y software Probabilidad de falla cuando se necesita el sistema Un sistema instrumentado de seguridad no puede ejecutar su función a menos que cada uno de sus componentes funcione adecuadamente cuando se le necesita. Pero la realidad es que todo el equipo tiene algún riesgo de falla. (Si no lo tuviera, usted no necesitaría un sistema instrumentado de seguridad, ¿o sí?) Es por eso que cuando se diseña un sistema, es esencial que se comprenda la tasa de falla de cada uno de los componentes, o probabilidad promedio de falla en demanda (PFDprom), para proporcionar un nivel dado de reducción de riesgo. Usted quiere componentes con una probabilidad de falla en demanda (PFD) que sea suficientemente baja para proporcionar el factor de reducción de riesgo correcto (FRR o RRF), pero no tan baja que usted termine con un diseño exagerado (y demasiado costoso). Consideremos el ejemplo del tanque de amoniaco del curso SIS 101. Suponga que instalamos un sistema diseñado para evitar una ruptura en el tanque, y 1 vez de cada 10 no funciona cuando se necesita (PFD=1/10 ó 0.1). Sin un sistema, el tanque habría sufrido una ruptura 10 veces; con el sistema instalado, sufrirá una ruptura sólo una vez. Por lo tanto, hemos reducido el riesgo en un factor de 10 – y descubrimos que PFD=1/FRR. Como usted vió en el curso SIS 101, cada nivel de integridad de seguridad (SIL) describe un rango de factores de reducción de riesgo objetivo. Ahora podemos agregar una tercera columna a la tabla que presentamos en ese curso:
  • 29. Nivel de integridad de seguridad Factor de reducción de riesgo objetivo Probabilidad promedio de falla en demanda (PFDprom) objetivo 4 >10,000 a ≤100,000 1/10,000 a 1/100,000 3 >1,000 a ≤10,000 1/1000 a 1/10,000 2 >100 a ≤1,000 1/100 a 1/1000 1 >10 a ≤100 1/10 a 1/100 Adaptado de IEC 61511-1 Tabla 3 Al conocer el valor de PFD de un dispositivo usted podrá decidir si debe incluirlo en su diseño. ¿Pero qué sucede una vez que el sistema instrumentado de seguridad es operativo? Pruebas de aceptación Los componentes esenciales de un sistema instrumentado de seguridad deben ser probados periódicamente para comprobar que funcionarán cuando se necesite – o para descubrir problemas y restaurar el sistema a su funcionalidad de seguridad diseñada. La frecuencia con la que se deben realizar estas pruebas depende de la probabilidad promedio de falla en demanda (PFDprom) del componente. Entre más frecuentes sean las pruebas, mayor es la seguridad de que el componente funciona bien – lo que significa que la PFDprom es menor y por lo tanto el factor de reducción de riesgo (FRR) es mayor. La ejecución de una prueba de aceptación de todo el sistema generalmente es posible sólo cuando el proceso está parado. Aunque las pruebas completas del sistema se necesitan periódicamente, usted puede reducir la frecuencia de los paros requeridos conduciendo pruebas provisionales de lo que típicamente se considera mayores factores contribuyentes a la PFDprom: los elementos finales de control. Por lo tanto, para mantener el sistema instrumentado de seguridad en cumplimiento se requiere escoger entre tres opciones: 1. Diseñar el sistema instrumentado de seguridad de manera que no necesite pruebas durante largos períodos entre paros de la planta. Con plantas operando dos, tres o más años entre paros programados, ésta puede ser una opción muy costosa – y podría ser imposible lograrla en la práctica. 2. Instalar líneas de desviación alrededor de cada elemento final de control para facilitar la prueba de aceptación completa mientras el proceso permanece en operación. Ésta también es una opción costosa, y deja al proceso desprotegido durante los períodos de prueba. También existe el riesgo de que se dejen las líneas de desviación abiertas inadvertidamente después de que se completa la prueba. 3. Usar pruebas de válvula de carrera parcial manuales o automatizadas (que no requieren un paro de proceso) para reducir la PFDprom. Los análisis de fiabilidad generalmente muestran que los problemas relacionados con las válvulas, tales como un vástago o tapón atascados, son los mayores contribuyentes a la PFDprom del sistema instrumentado de seguridad total. Una prueba de carrera parcial puede detectar estos problemas – o comprobar que no existen. Los siguientes tres diagramas ilustran cómo las pruebas más frecuentes pueden reducir la PFDprom o extender los intervalos entre pruebas de aceptación completas.
  • 30. La probabilidad de falla en demanda (PFD) se incrementa en el tiempo pero regresa a su nivel original cuando una prueba de aceptación completa muestra que todo funciona correctamente – en este caso, durante un paro cada tres años. La ejecución de la misma prueba dos veces a menudo reduce la PFD promedio. Como resultado, usted puede usar el mismo equipo para cumplir con un requisito SIL mayor, o puede usar equipo menos costoso para el mismo SIL. Otro enfoque es ejecutar pruebas de aceptación completas sólo la mitad de la frecuencia, pero usar frecuentes pruebas de carrera parcial para mantener la misma PFD promedio. Prueba de aceptación total Prueba de aceptación total Prueba de aceptación total Años PFD PFDprom Prueba de aceptación total Prueba de aceptación total Años PFD PFDprom PFDprom Prueba de aceptación total Prueba de aceptación total Prueba de aceptación total Prueba de aceptación total Años PFD PFDprom Pruebas carrera parcial Prueba de aceptación total Pruebas carrera parcial
  • 31. Los solucionadores lógicos y controladores de válvula SIS inteligentes pueden trabajar juntos para automatizar las pruebas de carrera parcial, haciendo que sea más fácil y más económico realizar estas pruebas más a menudo. Estas pruebas automatizadas también evitan los riesgos de seguridad asociados cuando se envía a alguien al campo para ejecutar la prueba, y el riesgo de que la válvula de paro de emergencia no esté disponible si se necesita durante la prueba. Los solucionadores lógicos y controladores de válvula inteligentes también facilita la detección de problemas potenciales al comparar los resultados de la prueba actual con respecto a los de la prueba anterior o cuando se instaló la válvula. Para aprender más de este tema, vea el informe de Exida "The effects of partial-stroke testing on SIL levels" (Los efectos de las pruebas de carrera parcial sobre los niveles SIL) <http://www.exida.com/articles/Partial%20Valve%20Stroke%20Testing.pdf > Diagnósticos Otra manera de incrementar la fiabilidad de su sistema instrumentado de seguridad es escoger componentes con diagnósticos integrados. Esto es especialmente importante para sensores y elementos finales de control: más del 85% de los problemas que afectan a la operación de un sistema instrumentado de seguridad se relacionan con los dispositivos de campo, no con el solucionador lógico. La ventaja PlantWeb El sistema instrumentado de seguridad inteligente de Emerson está diseñado para automatizar las pruebas de carrera parcial, evitando los mayores costos y los riesgos potenciales de las pruebas manuales – incluyendo mayor mano de obra, exposición de los trabajadores a condiciones peligrosas, e incluso la reducción de la seguridad al no seguir los procedimientos adecuados. El controlador de válvula digital FIELDVUE, usado en combinación con el software AMS Device Manager, documenta la firma original de la válvula y otros datos, así como el tiempo de prueba de carrera parcial, la fecha y los resultados. El controlador de válvula FIELDVUE también es parte de la solución de actuador de válvula/controlador SIL-PAC disponible para aplicaciones SIS. El solucionador lógico SIS de DeltaV puede automatizar el inicio de la prueba de carrera parcial y colectar los resultados en datos pasa-falla. Usted también puede reducir la frecuencia de las pruebas de aceptación escogiendo dispositivos con bajas tasas de falla – tales como los transmisores Rosemount y medidores de flujo tipo Coriolis de Micro Motion que también pueden ser componentes clave de nuestro sistema instrumentado de seguridad inteligente. Fuentes de fallas en sistemas instrumentados de seguridad Sensores Solucionadores lógicos Elementos finales Fuente: Análisis de Emerson de datos OREDA
  • 32. Los dispositivos que brindan capacidades de diagnóstico usan microprocesadores incorporados en la tarjeta para monitorizar y reportar su propio estado. Algunos pueden incluso predecir problemas potenciales a tiempo para que usted tome la acción correctiva antes de que la seguridad se vea comprometida. Mientras los dispositivos continúan haciéndose "inteligentes", las capacidades de diagnóstico se pueden extender más allá de su propia condición operativa hacia el proceso circundante. Por ejemplo, si un medidor de flujo simplemente reporta que hay un problema, el personal de mantenimiento podría reemplazarlo – pero eso no eliminaría una condición de slug-flow (densidad fuera de los límites), que es un problema del proceso. Los diagnósticos que le alertan sobre tales condiciones pueden permitirle resolver un problema del proceso antes de que se convierta en un problema de seguridad. La ventaja PlantWeb Los dispositivos inteligentes del sistema instrumentado de seguridad inteligente de Emerson brindan una amplia gama de diagnósticos avanzados. Por ejemplo, el controlador de válvula digital DVC6000 SIS puede diagnosticar problemas en el actuador y en la válvula así como en sí mismo. Un transmisor 3144P SIS de Rosemount puede indicar cuando detecta una sonda de temperatura defectuosa. Además, un medidor de flujo inteligente tipo Coriolis de Micro Motion puede detectar condiciones del proceso tales como slug flow, o cambios en la densidad de los reactivos que podría indicar que un catalizador se está contaminando. Alertas y alarmas inteligentes Las pruebas de carrera parcial, los diagnósticos y otras tecnologías para identificar (o incluso predecir) problemas en lazos de seguridad pueden ayudar a mantener la PFDprom requerida – pero sólo si la gente adecuada averigua sobre los problemas a tiempo para tomar la acción correctiva. La detección comienza en el proceso, usando dispositivos inteligentes capaces de monitorizar continuamente la condición operativa de los dispositivos y del lazo. Esto incluye la detección de condiciones tales como una válvula que se pega, baja presión de suministro de aire del actuador o un sensor de temperatura defectuoso. A quién se debe informar – y cómo – depende de la naturaleza de un problema detectado. Para deterioro gradual que pudiera conducir a un problema en el futuro, un correo electrónico automático al personal de mantenimiento podría permitirles programar las reparaciones adecuadamente. Por el contrario, las situaciones que representan una amenaza en un futuro cercano al proceso o la fiabilidad SIS podrían generar una alarma inmediata para alertar a los operadores para que tomen la acción correctiva. En todos los casos, es posible que se requiera la creación de un registro del problema en papel para satisfacer los requisitos normativos de informes.
  • 33. Sumario En este curso usted ha aprendido que: • Los componentes físicos principales de un sistema instrumentado de seguridad son sensores, solucionadores lógicos y elementos finales de control. • Los componentes y subsistemas esenciales son aquéllos necesarios para llevar a cabo la función instrumentada de seguridad. Éstos deben cumplir con los requisitos de nivel de integridad de seguridad (SIL). • Los componentes y subsistemas no esenciales proporcionan soporte para diseñar o dar mantenimiento al sistema instrumentado de seguridad, pero no interfieren con su funcionamiento. Éstos no tienen que cumplir con los requisitos SIL. • Los componentes esenciales del sistema instrumentado de seguridad deben ser certificados o comprobados en uso. El mejor enfoque generalmente depende de la complejidad del dispositivo y de si usted tiene suficientes datos de uso anterior. • La probabilidad de falla en demanda (PFD) de un componente o sistema afecta a su habilidad de proporcionar la reducción de riesgo necesaria y el nivel de integridad de seguridad (SIL). • Las pruebas de aceptación más frecuentes pueden reducir la PFD, y las pruebas de carrera parcial pueden extender los intervalos entre las pruebas de aceptación completas. • Las alarmas inteligentes ayudan a informar a la gente correcta cuando hay un problema potencial con el proceso o sistema. La ventaja PlantWeb PlantWeb Alerts notifica a la gente adecuada sobre problemas potenciales – sin abrumar a los operadores con alarmas molestas. Esta capacidad es posible gracias a los diagnósticos de los dispositivos de campo inteligentes de Emerson, al software AMS™ Suite: Intelligent Device Manager y al sistema DeltaV™, permite analizar inmediatamente la información entrante, clasificarla de acuerdo a quién se debe avisar, darle prioridad de acuerdo a la gravedad y criticidad en el tiempo, y luego no sólo decir a los destinatarios qué está mal sino aconsejarles sobre qué hacer al respecto – en un lenguaje cotidiano claro. Con el complemento opcional SIS Reporting Messenger, los resultados detallados de las pruebas de diagnóstico SIS del actuador de carrera parcial, sensor y condición operativa del lazo SIS se transmiten y se imprimen automáticamente.
  • 34. SIS 202 Diseño funcional 15 minutos O Generalidades 1 Tipos de software 2 Ciclo de vida de desarrollo 3 Módulos de software certificados 4 Herramientas de utilidad de software 5 Sumario Generalidades En el curso anterior usted aprendió acerca de los aspectos físicos (hardware) de un sistema instrumentado de seguridad. Ahora concentraremos nuestra atención a los aspectos funcionales (software). Usted puede pensar que el software es algo fácil de arreglar si hay un problema. Pero en sistemas de seguridad, es esencial hacer lo correcto. Aproximadamente la mitad de los accidentes ocasionados por fallas de control y del sistema de seguridad se originan debido a errores o decisiones deficientes tomadas antes de que los sistemas salgan de la mesa de dibujo. Así que una buena ingeniería en este punto hace una gran diferencia en qué tan bien – o incluso si – su sistema instrumentado de seguridad hará su trabajo. Este curso describe aspectos clave para garantizar que su software permita que el sistema de seguridad ejecute sus funciones. Al final del curso, hay un breve examen que puede usar para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Mientras estudia los temas de este curso, busque las respuestas a estas preguntas: • ¿Cuáles son los tres tipos de software de un sistema de seguridad? • ¿Cuáles son los dos lados del “modelo V” de desarrollo de software? • ¿Cuáles son los beneficios de usar módulos de software certificados para sistemas instrumentados de seguridad? ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Causas raíz de fallas en sistemas de control y de seguridad Especificación Diseño e implementación 15% Fuente: Oficina Ejecutiva de Salud y Seguridad 44% Instalación y comisionamiento 6% Cambios después del comisionamiento 20% Operación y mantenimiento 15%
  • 35. Tipos de software La norma IEC 61511 identifica tres tipos de software: 1. Aplicación: El software que usted desarrolla específicamente para su solución SIS – en otras palabras, la configuración del sistema. 2. Utilidad: Las herramientas de software que usted usa para desarrollar, verificar y dar mantenimiento al software de aplicación. 3. Integrado: El software (también llamado firmware) que está “integrado” a los productos SIS. El software de utilidad e integrado es generalmente proporcionado por los fabricantes de instrumentos y de sistemas de control como parte de sus productos. Cuando estos productos están certificados para aplicación SIS, los proveedores generalmente tienen la responsabilidad primaria de garantizar que este software cumple con las normas IEC 61508. Por otro lado, toda la responsabilidad de garantizar que el software de aplicación cumpla con los requisitos, es de usted – aunque los consultores e integradores pueden ayudar. Ciclo de vida de desarrollo El gigante de las computadoras IBM usa la regla “1-10-100” para explicar la importancia del diseño de buen software: Por cada error de software que se pueda quitar por $1 durante la fase de diseño, si se espera para quitarlo durante las pruebas costará $10, y si se espera hasta que se ha entregado el software costará $100. En el mundo de la seguridad, los costos pueden ser mayores – y medidos en términos de vida y miembros. Por eso es importante garantizar la calidad del software desde el principio, y continuar verificándola a lo largo del proceso de desarrollo. IEC 61511 permite alguna flexibilidad en la manera en que usted desarrolle el software de aplicación para su sistema instrumentado de seguridad. Sin embargo, requiere que el proceso de desarrollo sea estructurado con cuidado para evitar errores de ingeniería que ocasionen fallas peligrosas durante la operación. También requiere que se verifique y se valide que la solución de aplicación del software funcione como se define en la documentación de diseño. La norma incluye el “modelo V” de desarrollo de software popular para ilustrar las actividades necesarias para garantizar que esto suceda. El lado izquierdo de la V muestra las actividades de desarrollo de software, y el lado derecho muestra las actividades correspondientes de verificación y validación. Haga clic en la imagen para ampliarla.
  • 36. El proceso comienza con la especificación de los requisitos de seguridad (SRS) y progresa a través del diseño cada vez más detallado y etapas de desarrollo. Luego, una serie de pruebas cada vez a mayor escala verifica que el trabajo hecho en cada etapa haya cumplido con los requisitos de seguridad. Al final del proceso, la exitosa prueba de integración conduce al software validado. Este proceso – incluyendo la planificación y documentación de las pruebas – se describe con más detalle en el siguiente curso, SIS 203 – Verificación y validación del sistema instrumentado de seguridad. Módulos de software certificados El diseño de software moderno generalmente usa código modular que se desarrolla una vez pero se usa repetidamente – evitando el tiempo, el costo y los errores que pueden resultar de “reinventar la rueda”. La norma IEC le proporciona dos opciones: crear y validar su propia librería de módulos de software de aplicación, o usar módulos predesarrollados, probados y certificados por un tercero. Cuando usted usa módulos certificados proporcionados por fabricantes de productos SIS, no sólo evita el tiempo y el costo asociados con el desarrollo de ese código. También evita el requisito de probar cada módulo. El proveedor y la organización certificadora ya han hecho el trabajo por usted. Especificación de requisitos de seguridad del SIS Arquitectura del subsistema Especificación de requisitos de seguridad del software de aplicación Diseño de la arquitectura del software de aplicación Validación de la seguridad del SIS Pruebas de integración del software de aplicación del sistema electrónico programable (PES) Desarrollo del software de aplicación Desarrollo del módulo de aplicación Pruebas del software de aplicación Pruebas del módulo de aplicación Desarrollo y pruebas del código – sólo lenguaje de variabilidad total (FVL) Salida Verificación Ciclo de vida de desarrollo de software (modelo V) de IEC 61511-1 Sistema instrumentado de seguridad validado
  • 37. Haga clic en la imagen para ampliarla. Si usted decide crear sus propios módulos de desarrollo de aplicación, debe comprender que la norma IEC establece requisitos muy estrictos para diseñar, desarrollar y probar estos módulos de software reusables. El resultado final es que los módulos de software de aplicación deben ser “a prueba de balas”, y quien los desarrolle asume la responsabilidad y el riesgo de garantizar que eso sea así. Especificación de requisitos de seguridad del SIS Arquitectura del subsistema Especificación de requisitos de seguridad del software de aplicación Diseño de la arquitectura del software de aplicación Desarrollo del software de aplicación Desarrollo del módulo de aplicación Validación de la seguridad del SIS Pruebas de integración del software de aplicación del sistema electrónico programable (PES) Pruebas del software de aplicación Pruebas del módulo de aplicación Desarrollo y pruebas del código – sólo lenguaje de variabilidad total (FVL) Sistema instrumentado de seguridad validado Salida Verificación Ciclo de vida de desarrollo de software (modelo V) de IEC 61511-1 No se requiere si se usan bloques de funciones certificados de seguridad para desarrollar la aplicación.
  • 38. Herramientas de utilidad de software Como cualquier otro oficio, el desarrollo de software tiene herramientas para acelerar y simplificar el trabajo. IEC 61511 agrupa cosas tales como los lenguajes de programación de aplicación, herramientas de gestión de configuración, simulaciones, arneses de prueba y medición de cobertura de prueba automática bajo el encabezado software utility tools (herramientas de utilidad de software). La norma le permite una considerable flexibilidad en la selección de estas herramientas – incluyendo el uso o desarrollo de sus propias herramientas. Sin embargo, antes de poder usar una herramienta (comprada o desarrollada) para ayudar a lograr el cumplimiento con IEC, el manual de usuario de la herramienta debe documentar completamente lo siguiente: • Cómo usar la herramienta • Restricciones de uso • Puntos débiles conocidos • Limitaciones de la versión …y temas similares. Debido a la importancia de las herramientas de desarrollo de aplicación, la norma requiere que usted use un intérprete/compilador del lenguaje comprobado que pueda detectar errores de programación y de sintaxis – y que no introduzca errores él mismo. La ventaja PlantWeb El sistema DeltaV SIS que es parte del sistema instrumentado de seguridad inteligente de Emerson incluye una completa paleta de bloques de funciones certificados por TÜV incluyendo Voter (votante), Cause and Effect Matrix (matriz de causa y efecto), Step Sequencer (secuenciador por pasos) y State Transition Table (tabla de transición de estado). Poderosos bloques inteligentes de funciones, tales como bloques de votante MooN (M de N) con funcionalidad de desviación integrada reducen lo que una vez requirió el desarrollo de páginas de lógica de escalera a una simple actividad de configuración arrastrando y soltando (drag-and-drop). Otras capacidades del software DeltaV SIS, tales como una máquina de estado de alarmas integrada a la norma EEMUA 191, simulación fuera de línea, secuencia de registrador de eventos, manipulación de desviación y anulación, hacen que el mantenimiento de sistemas instrumentados de seguridad sea fácil y menos complejo. Todas estas capacidades integradas ayudan a automatizar el cumplimiento con IEC 61511, simplificando así los requisitos de documentación y reduciendo sus costos del ciclo de vida y los riesgos.
  • 39. La ventaja PlantWeb Una herramienta de utilidad de software clave en el sistema instrumentado de seguridad inteligente de Emerson es el software AMS™ Suite: Intelligent Device Manager, que le permite verificar que la configuración e instalación de los instrumentos de campo sea adecuada. Su capacidad QuickCheck (revisión rápida) también simplifica la validación de interlock al permitirle poner varios instrumentos en modo de revisión fijo al mismo tiempo. Además, durante la modificación del sistema instrumentado de seguridad se puede usar para comparar las nuevas configuraciones de los dispositivos con otras anteriores. Para ver un estudio de un tercero sobre éstas y otras capacidades, consulte “AMS Safety Analysis: Using AMS Suite in Safety Instrumented System Applications” (Análisis de seguridad de AMS: Uso de AMS Suite en aplicaciones de sistemas instrumentados de seguridad). <www.emersonprocess.com/sis/resources/ams_safety_analysis.pdf> Sumario En este curso usted ha aprendido que: • La buena ingeniería de software es esencial para evitar problemas de seguridad que se “diseñan” en el sistema instrumentado de seguridad. • La norma IEC 61511 identifica tres tipos de software: software de aplicación, software de utilidad y software integrado (también llamado firmware). • Aunque los proveedores tienen generalmente la responsabilidad primaria por el software de utilidad y el integrado, depende de usted garantizar que el software específico a la aplicación cumpla con la norma. • Para cada fase del diseño y desarrollo de software, hay una fase de pruebas correspondiente para verificar que el software cumpla con los requisitos. • El uso de módulos de software precertificados puede reducir el tiempo y costo de desarrollo y pruebas.
  • 40. SIS 203 Verificación y validación 15 minutos O Generalidades 1 Verificación 2 Validación 3 Un enfoque estructurado 4 Descomposición del sistema 5 Planificación de las pruebas 6 Documentación 7 Sumario Generalidades Todos sabemos que el mejor diseño sólo es bueno como lo es su implementación. Por eso es que no es suficiente diseñar un sistema instrumentado de seguridad (SIS) para cumplir con los requisitos de seguridad. Usted también tiene que comprobar que o cada paso del esfuerzo de diseño cumpla con los requisitos adecuados como se define en la especificación de requisitos de seguridad (SRS) o el sistema instrumentado de seguridad ejecutará su función de seguridad Estas dos actividades se llaman verificación y validación. La verificación tiene lugar en cada paso en el ciclo de vida de seguridad, mientras que la validación ocurre después de que se instala el sistema y antes de ponerlo en servicio. Ambas actividades le ayudan a quitar tantas fallas sistemáticas del sistema instrumentado de seguridad como sea posible. Las fallas sistemáticas son las que están “integradas” al sistema como resultado de errores humanos, contrario a las fallas aleatorias que ocurren cuando el equipo se descompone. Este curso muestra cómo la verificación y validación proporcionan un alto nivel de garantía de que el sistema instrumentado de seguridad funcionará de acuerdo con su especificación de requisitos de seguridad (SRS). También aprenderá maneras de estructurar los esfuerzos de verificación y validación para hacerlos más manejables, y cómo las prácticas de documentación le pueden ayudar a producir (y mantener) la prueba de que su sistema instrumentado de seguridad está diseñado e implementado adecuadamente. Al final del curso, usted puede usar el examen para confirmar lo que ha aprendido – y ganar valiosos Puntos de Recompensa. Sugerencia Preste especial atención a … • La diferencia entre verificación y validación • Cómo “descomponer” el sistema instrumentado de seguridad en subsistemas • Cómo pueden ayudar los modelos de validación como IQ-OQ-PQ • Qué debe incluir en sus planes de pruebas • Qué logra la buena documentación. ¿Listo(a) para comenzar? Sólo haga clic en el icono “>” a continuación. Verificación
  • 41. La verificación ocurre al final de cada paso del ciclo de vida de seguridad. Demuestra que el trabajo ha cumplido con los objetivos y requisitos para esa actividad específica. La verificación (y documentación de los resultados) tiene lugar en cada etapa del ciclo de vida de seguridad. La verificación se puede realizar mediante análisis, pruebas o una combinación de ambos. Las actividades podrían incluir: • Revisión de documentos de todas las fases del ciclo de vida de seguridad para garantizar el cumplimiento con los objetivos y requisitos • Revisión del diseño • Pruebas de los productos diseñados para garantizar que funcionen de acuerdo con su especificación. Esto es especialmente valioso para componentes modulares – tales como el código para un algoritmo de votante – que se usará muchas veces. • Pruebas de integración realizadas cuando se juntan diferentes partes del sistema. Las actividades de verificación y sus resultados se documentan completamente para mostrar no sólo que el diseño ha cumplido con los requisitos, sino también que usted ha comprobado para asegurarse de que así sea – y que ha hecho las correcciones necesarias. Validación La validación se basa en las actividades de verificación agregando pruebas completas del sistema instrumentado de seguridad completado para comprobar que todo funcione como debe. Esto demuestra que cada función de seguridad del sistema instrumentado de seguridad, así como el sistema en sí, cumplen con todos los requisitos contenidos en la especificación de requisitos de seguridad (SRS). Mientras que la verificación se hace en todo el proyecto y se puede realizar donde se está haciendo el trabajo, la validación ocurre sólo en sitio, después de que se ha instalado y comisionado el sistema. Entre otras cosas, las pruebas de validación pueden incluir la confirmación de que … Modificación y actualización Diseño detallado y construcción Instalación y Puesta en marcha Provisión de seguridad funcional Gestión de seguridad funcional Diseño conceptual del proceso e ingeniería básica del proyecto
  • 42. • El sistema funciona adecuadamente en todos los modos de operación relevantes (puesta en marcha, paro, automático, semiautomático, etc.) • El sistema instrumentado de seguridad funciona satisfactoriamente bajo los modos de operación normal y anormal como se define en la especificación de requisitos de seguridad • La interacción del sistema de control básico (BPCS) y otros sistemas conectados no afecta o restringe la habilidad de respuesta del sistema instrumentado de seguridad • Los sensores, solucionadores lógicos y elementos finales de control (incluyendo canales redundantes) funcionan como se requiere • El sistema instrumentado de seguridad funciona adecuadamente con valores de proceso no válidos, tales como valores “fuera de rango” de sensor • El sistema instrumentado de seguridad funciona como está diseñado cuando ocurre pérdida y restauración de servicios públicos, tales como energía eléctrica, aire de instrumento o hidráulica. La validación requiere una planificación precisa para identificar y documentar los procedimientos, medidas y pruebas que se usarán, así como el orden y programa de las pruebas y las aptitudes requeridas del personal que las realizará. Es un gran trabajo que puede requerir muchos recursos. Pero cuando usted recuerde que el sistema instrumentado de seguridad existe para proteger a su comunidad, vecinos, familia, compañeros de trabajo y al medio ambiente, hacer menos no es una opción. Y afortunadamente, hay maneras de hacer que la tarea sea más manejable.
  • 43. Un enfoque estructurado Usted recuerda que IEC 61511 define qué debe hacer y por qué, dejando que usted determine cómo hacerlo. Usted puede organizar y conducir los procesos de verificación y validación en cualquier manera que se acople a su situación – siempre y cuando produzca evidencia documentada de que el sistema instrumentado de seguridad cumple con la especificación de requisitos de seguridad. Pero en lugar de pasar por todo el esfuerzo de crear un enfoque de validación único, considere adoptar uno que ya se usa habitualmente en la industria. Aunque no se define en IEC 61511, un ejemplo muy usado es el enfoque estructurado prescrito por la Administración de Alimentos y Bebidas (FDA) de los Estados Unidos para validar los sistemas de control básico de procesos. Este modelo bien comprendido y bien documentado separa el trabajo en tres fases: Calificación de la instalación (IQ), calificación operativa (OQ) y calificación del funcionamiento (PQ). o La calificación de la instalación prueba y documenta que los aspectos físicos individuales de la solución SIS – dispositivos y subsistemas – están instalados correctamente. Se realiza antes de energizar. Para el ejemplo del tanque de amoniaco que vimos en un curso anterior, la IQ podría incluir la confirmación de que los sensores de presión instalados en el tanque sean del modelo correcto, que tengan la documentación de seguridad requerida, que hayan sido instalados de acuerdo con el diseño y especificaciones del fabricante, que estén conectados correctamente y que tengan todos los interruptores y puentes configurados adecuadamente. o La calificación operativa prueba y documenta que los aspectos físicos y de software individuales de la solución SIS funcionen como deben. Como la IQ, la OQ prueba dispositivos y subsistemas. Por ejemplo, usted podría revisar que cada sensor tenga los voltajes correctos, que la prueba de carrera parcial esté configurada correctamente en los controladores de válvula y que los solucionadores lógicos tengan su configuración descargada y que no reporten errores. o La calificación del funcionamiento prueba y documenta que el sistema instrumentado de seguridad como un todo es capaz de realizar las funciones de seguridad definidas de acuerdo con la especificación de requisitos de seguridad. La PQ es una prueba integrada de procedimientos, personal, procesos y el sistema instrumentado de seguridad completo. Ocurre después de que se hayan completado todas las actividades de IQ y OQ tanto para los aspectos físicos (hardware) como los funcionales (software) del sistema instrumentado de seguridad. Cualquier problema que se encuentre durante la calificación del funcionamiento (PQ) debe ser investigada, corregida y documentada. Debido a que IEC 61511 representa un marco para aplicar buenas prácticas para lograr una solución SIS robusta, la adopción de buenas prácticas existentes como el enfoque IQ-OQ-PQ tiene más sentido que crearlas desde cero. Usted puede simplificar más el esfuerzo conduciendo las pruebas función de seguridad por función de seguridad. Continuemos con la descripción de esta “descomposición” del sistema. Descomposición del sistema ¿Está cada componente instalado correctamente? ¿Funciona cada componente correctamente? ¿Funciona todo el sistema correctamente?
  • 44. Verificar y validar un sistema instrumentado de seguridad completo puede parecer (y ser) una tarea desalentadora – a menos que usted divida el trabajo en partes manejables. Una manera de hacer esto es descomponiendo la solución SIS en funciones instrumentadas de seguridad (SIFs) e identificando los dispositivos y subsistemas que realizan cada función instrumentada de seguridad. Al ver cada componente por separado es más fácil identificar y documentar las habilidades, el equipo de prueba, la estructura de prueba y las hojas de terminación para partes y subsistemas específicos. Por ejemplo, usted encontrará que algunas partes y subsistemas, tales como sensores y elementos finales de control, son específicos a una función de seguridad. Otras, tales como la alimentación de CA y CC, sistemas de tierra y comunicaciones, son más “genéricos”. Por lo tanto, usted puede estructurar sus esfuerzos para confirmar primero que los elementos genéricos estén proporcionando los servicios o capacidades necesarios para soportar todas las funciones de seguridad. Una vez que sepa que ése es el caso, usted puede verificar que los elementos únicos a cada función de seguridad también estén funcionando adecuadamente. Este enfoque evita volver a probar los mismos enfoques genéricos para cada función de seguridad. Para el sistema que se muestra en el siguiente diagrama, por ejemplo, la descomposición le permite validar la fuente de alimentación sólo una vez, sin tener que probarla otra vez para cada una de las funciones de seguridad que soporta. El mismo principio se aplica al solucionador lógico que se encuentra a la izquierda en el diagrama. Una vez que usted ha establecido que sus capacidades genéricas están funcionando correctamente (por ejemplo, que no hay errores de diagnóstico, que las fuentes de alimentación están bien y que la red está trabajando), usted no necesita volver a probar estas mismas funciones para cada función instrumentada de seguridad (SIF) que el solucionador lógico soporta. Sin embargo, usted debe validar que cada función instrumentada de seguridad funciona correctamente de acuerdo con la especificación de requisitos de seguridad. La descomposición del sistema en partes y subsistemas también facilita y hace más eficiente el uso de material de los fabricantes de productos, consultores terceros y recursos públicos para crear sus planes de pruebas. Por ejemplo, el plan de prueba IQ para un transmisor de presión certificado para seguridad se puede desarrollar consultando las secciones relevantes de la documentación de instalación del fabricante, aumentadas con una hoja de terminación de verficación IQ adecuada. El plan de prueba OQ del transmisor de presión se puede desarrollar de manera similar de acuerdo al manual de seguridad del fabricante y de acuerdo a los requisitos de calibración. Fuente de alimentación Solucionador lógico Solucionador lógico Sensor Sensor SensorVálvula Válvula Válvula Función de seguridad 1 Función de seguridad 2 Función de seguridad 3