UNIVERSIDAD VERACRUZANA FACULTAD DE CIENCIAS QUÍMICAS CAMPUS COATZACOALCOS “GUÍA PARA LA DETERMINACIÓN DEL NIVEL SIL EN LA INDUSTRIA DE PROCESOS” MONOGRAFÍA QUE PARA OBTENER EL TÍTULO DE: INGENIERO QUÍMICO PRESENTA: DAVID ARTURO GARCÍA DE LA CRUZ COATZACOALCOS, VER. OCTUBRE 2009 ÍNDICE OBJETIVO. ..................................................................................................... 1 INTRODUCCIÓN. ........................................................................................... 3 CAPÍTULO I .................................................................................................... 5 LAS MEDIDAS DE SEGURIDAD Y LOS NIVELES DE CONTENCIÓN DE RIESGOS. ....................................................................................................................... 6 1.1 LAS MEDIDAS DE SEGURIDAD. .................................................................. 6 1.2.1 LOS NIVELES DE PROTECCIÓN. .............................................................. 8 1.2.2 LOS NIVELES DE PROTECCIÓN DE CONTENCIÓN DE RIESGOS. .. 10 1.3.1 LOS SISTEMAS BÁSICOS DE CONTROL DE PROCESOS. .................. 11 1.3.2 ALARMAS CRÍTICAS E INTERVENCIÓN MANUAL. .......................... 11 1.3.3 LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD. ..................... 12 1.3.4 LOS DISPOSITIVOS MECÁNICOS ACTIVOS DE PROTECCIÓN (DISPOSITIVOS DE RELEVO). ................................................................................. 13 LOS DISPOSITIVOS MECÁNICOS PASIVOS DE PROTECCIÓN (SISTEMAS DE CONTENCIÓN FÍSICA). ............................................................................................ 13 1.3.6 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS DE LA PLANTA. 14 1.3.7 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS Y DE CONTENCIÓN DE RIESGOS IMPLEMENTADA POR LA COMUNIDAD. ......... 14 1.3.8 EL RIESGO REMANENTE ACEPTADO. ................................................. 14 CAPÍTULO II ................................................................................................. 16 2.1 2.2 2.2.1 2.2.2 SEGURIDAD FUNCIONAL. .......................................................................... 17 LAS NORMAS IEC ......................................................................................... 18 LA NORMA IEC 61508. .............................................................................. 19 LA NORMA IEC 61511 ............................................................................... 20 CAPÍTULO III ................................................................................................ 22 3.1 3.2 GRÁFICA DE LOS PARÁMETROS DEL RIESGO. ..................................... 23 ASIGNACIÓN DE LOS VALORES DE SIL. ................................................. 26 CAPÍTULO IV ............................................................................................... 27 4.1 NIVEL DE INTEGRIDAD DE SEGURIDAD (SIL). ..................................... 28 4.2 LA PROBABILIDAD DE FALLAS. ............................................................... 28 4.3 CARACTERIZACIÓN DE LOS COMPONENTES DEL SIS PARA RECLAMAR UN CUMPLIMIENTO SIL. .................................................................. 29 4.3.1 LA FRACCIÓN DE FALLA SEGURA. ...................................................... 29 4.3.2 LA TOLERANCIA A FALLAS DEL HARDWARE. ................................. 31 CONCLUSIONES. ........................................................................................ 37 BIBLIOGRAFÍA .......................................................................................................... 39 GLOSARIO .................................................................................................................. 41 ÍNDICE DE FIGURAS Figura 1.1 Figura 1.2 Figura 1.3 Figura 2.1 Figura 3.1 Figura 4.1 Figura 4.2 Figura 4.3 Figura 4.4 Jerarquía de los niveles de contención de riesgos en la planta industrial………………………………………………………………… 6 Los riesgos y su relación……………………………………………… 8 Secuencia de las medidas de contención de riesgos………………. 9 Normas que fundamentan la seguridad funcional…………………... 19 Matriz para la determinación del nivel SIL requerido por el riesgo.. 25 Diagrama esquemático de un ESD…………………………………… 33 Suma de probabilidades promedio…………………………………… 34 Arquitectura de la función de seguridad……………………………... 34 Arquitectura de la función de seguridad considerando un segundo transmisor para la variable crítica……………………………………. 35 ÍNDICE DE TABLAS Tabla 3.1 Tabla 4.1 Tabla 4.2 Asignación de los valores de SIL requeridos por el riesgo………… 26 Probabilidad de fallas de la función de seguridad………………….. 29 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo A relativos a seguridad…………………………… 31 Tabla 4.3 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo B relativos a seguridad…………………. 32 OBJETIVO. 1 Proporcionar información suficiente y necesaria para la determinación del Nivel de Seguridad Integridad SIL (siglas en ingles) requerido en la Industria de Procesos, y de su relación con el concepto de Seguridad Funcional. 2 INTRODUCCIÓN. 3 La industria de procesos contiene riesgos, tal que los trabajadores, la maquinaria, los equipos y el medio ambiente están en una situación constante de exposición a daños consecuencia de estos riesgos. Cada riesgo contiene un evento iniciador, y una determinada severidad de consecuencias si el mismo es iniciado. Para minimizar la presencia del evento iniciador del riesgo y/o para mitigar las consecuencias del riesgo iniciado se implementan medidas de seguridad, las cuales contienen una función de seguridad y un nivel de certidumbre y/o de integridad que garantizará la acción de la función de seguridad si es demandada por el riesgo. Si la medida de seguridad contiene dispositivos eléctricos, electrónicos y/o electrónicos programables se denomina Sistema Instrumentado de Seguridad (SIS por sus siglas en inglés), con Funciones Instrumentadas de Seguridad (SIF por sus siglas en inglés), con un Nivel de Integridad de Seguridad (SIL por sus siglas en inglés); y sus características desde su concepción hasta el desmantelamiento se regirán por las normas internacionales IEC 61508 e IEC 61511. El presente trabajo pretende, en forma sencilla, explicar el método simplificado para la determinación del nivel SIL requerido por el riesgo; y de la caracterización de los dispositivos eléctricos, electrónicos y electrónicos programables, que les permitirá el cumplimiento con el SIL requerido. 4 CAPÍTULO I 5 LAS MEDIDAS DE SEGURIDAD Y LOS NIVELES DE CONTENCIÓN DE RIESGOS. 1.1 LAS MEDIDAS DE SEGURIDAD. Las medidas de seguridad de prevención de riesgos en la industria de procesos se diseñan considerando la frecuencia de la exposición al riesgo por personas, la probabilidad de la presencia del evento iniciador del riesgo, y la severidad de las consecuencias si el mismo es eventualmente iniciado. Las medidas de seguridad de mitigación de riesgos se diseñan para controlar los eventos peligrosos iniciados, y para reducir el impacto del evento a las instalaciones, el medio ambiente y la vida humana. En el modelo jerárquico siguiente (figura 1.1) se muestran las medidas de seguridad contra riesgos industriales, en niveles ó capas de protección y su orden secuencial. Figura 1.1 Jerarquía de los niveles de contención de riesgos en la planta industrial. 6 Las medidas de seguridad son independientes entre sí en cuanto a su función. Por eso, dispositivos de regulación y control del nivel más bajo, por regla general no se emplean simultáneamente para aplicaciones de seguridad de un nivel superior. Ahora bien, las medidas de seguridad deben ser evaluadas sistemáticamente para asegurar su vigencia, conveniencia y actualización como sistemas de reducción de riesgos. Uno de los indicadores para la evaluación de las medidas de seguridad es la seguridad funcional implementada, es decir –la garantía de funcionamiento de la medida de seguridad con respecto a una posible demanda real del riesgo de la planta de procesos-, expresada y cuantificada comúnmente como Probabilidad de Falla en Demanda. La evaluación de la seguridad funcional implementada de las medidas de seguridad se lleva a cabo bajo la consideración de los siguientes parámetros: a) Cuál es la función de seguridad Qué hace la medida de seguridad. b) Cuál es el nivel de integridad de seguridad – Qué grado de certidumbre existe del desempeño de la función de seguridad. Ambas funciones de la seguridad y el Nivel de Integridad de Seguridad (SIL por sus siglas en inglés) especifican a la seguridad funcional como un requisito de toda medida de seguridad, considerando a la medida de seguridad como un todo dentro de un ambiente particular. En el entorno de la maquinaria, la planta de procesos y los equipos, y especialmente en la ingeniería de automatización y control, la determinación del nivel SIL del riesgo como requisito en el dimensionamiento de los Sistemas Instrumentados de Seguridad (SIS), tiene una importancia relevante. 1.2 LOS RIESGOS Y LOS NIVELES DE PROTECCIÓN. La figura 1.2 muestra la relación del riesgo del equipo bajo control, el riesgo remanente aceptado, y la reducción del riesgo obtenida por la implementación de medidas de seguridad. 7 Figura 1.2 Los riesgos y su relación. Donde: Equipo bajo control: Es la maquinaria, la planta de procesos, el equipo, en conjunto con los sistemas básicos de control asociados para su operación eficiente. Se muestra en las posiciones “sin medidas de protección” y “con medidas de protección”. Riesgo Remanente Aceptado: Nivel de riesgo remanente después que sistemas de reducción del riesgo han sido implementados. Este nivel de riesgo es aceptado en un contexto basado en valores actuales de la sociedad. Mientras que el nivel de riesgo remanente no es aceptable deberán adicionarse más y mayores medidas de seguridad, hasta obtener el nivel de riesgo remanente aceptado. 1.2.1 LOS NIVELES DE PROTECCIÓN. Los riesgos industriales son de muy distinta naturaleza y sus consecuencias pueden variar desde mínimas hasta realmente catastróficas. Ha sido necesario analizar mediante numerosas técnicas cada uno de estos riesgos para determinar las medidas para su prevención y en su caso la mitigación 8 de las consecuencias. La enorme variedad de los riesgos industriales ha requerido una enorme variedad de medidas de protección y/o barreras de contención. Los intentos por clasificar estas medidas de protección y/o barreras de contención han dado lugar a lo que se denomina niveles de protección de contención de riesgos. Una filosofía de seguridad consiste en que si la probabilidad del evento iniciador del riesgo y/o el desarrollo de las consecuencias de un riesgo que ha sido iniciado exceden la protección de una medida de seguridad, deberá encontrar en su recorrido medidas adicionales inclusive de tecnología diversa y/o de origen externo de mayor contención y/o mitigación. La figura 1.3 nos muestra como diferentes medidas de seguridad se anteponen a la trayectoria del riesgo y/o del evento iniciador del riesgo, a la probabilidad y frecuencia del riesgo, y a la severidad de las consecuencias del riesgo, Figura 1.3 Secuencia de las medidas de contención de riesgos. 9 Donde: MSI1, MSI2, MSI3, etc.: Son las diferentes medidas de seguridad independientes tanto en tecnología como en el origen implementadas para la reducción del riesgo. Estas medidas de seguridad deberán ser independientes del evento Iniciador del riesgo e independientes entre sí. Las medidas de seguridad independientes conforman niveles de protección para la contención en el recorrido de los riesgos. En la industria de procesos se identifican siete niveles de protección, como se detallan a continuación. 1.2.2 LOS NIVELES DE PROTECCIÓN DE CONTENCIÓN DE RIESGOS. Los niveles de protección de contención de riesgos son los siguientes: 1. 2. 3. 4. 5. 6. 7. Los Sistemas Básicos de Control de Procesos (SBCP). La intervención del operador humano. Los Sistemas Instrumentados de Seguridad (SIS). Los sistemas mecánicos activos (dispositivos de relevo). Los sistemas mecánicos pasivos (barreras físicas de Contención). La respuesta de emergencias de la planta. La respuesta de emergencias de la comunidad. La reducción global del riesgo resulta de la adopción de las medidas de seguridad de los distintos niveles de protección y, en última instancia, debe resultar un riesgo remanente aceptable. 1.3 DESCRIPCIÓN DE LOS NIVELES DE PROTECCIÓN DE CONTENCIÓN DE RIESGOS. Una breve descripción de los diferentes niveles de protección de contención de riesgos es el siguiente: 10 1.3.1 LOS SISTEMAS BÁSICOS DE CONTROL DE PROCESOS. La función de los sistemas básicos de control de procesos es la regulación y control de las variables en la planta de procesos, dentro de valores necesarios para obtener productos de máxima calidad, en procesos de fabricación estables, continuos y optimizados. Y aunque los sistemas básicos de control se diseñan para que las variables del proceso se mantengan dentro de parámetros de control, de manera inherente (seguridad inherente) conforman el primer nivel de protección de contención de riesgos en la industria. La filosofía de los sistemas básicos de control de procesos se basa en la operación de lazos de control para cada variable del proceso. Los lazos de control están constituidos por sensores de la magnitud de las variables, controladores de desviación y elementos finales de control. Complementan a estos lazos de control, las estrategias lógicas de control (software), los valores límites establecidos para las variables, los medios de comunicación, sistemas de diagnóstico de fallas, valores de referencia, métodos de redundancia para incrementar la disponibilidad, entrelazamientos, algoritmos de cálculo, entre otros. 1.3.2 ALARMAS CRÍTICAS E INTERVENCIÓN MANUAL. El segundo nivel de protección de contención de riesgos se constituye por la intervención del operador humano que actúa en situaciones donde las variables del proceso exceden los valores límite (valores de alarma) durante la operación normal de la planta de procesos y los equipos bajo control. El operador humano manipula bajo prácticas y conocimientos obtenidos de su capacitación y adiestramiento continuos, las variables del proceso que pueden quedar fuera de control ante la presencia de desviaciones y de situaciones de emergencia. Entre estas situaciones se encuentran los cortes inesperados de energía eléctrica, fallas en el suministro de vapor, agua de enfriamiento, aire de instrumentos, el descontrol de la operación de la planta, la falla de algún equipo, etc. 11 El operador humano ejecuta las acciones necesarias para llevar la operación de su Planta de proceso a condiciones seguras de falla en un estado de riesgo remanente aceptado. Estas actividades del operador humano están documentadas en los procedimientos operativos de arranque y procedimientos de paro normal y de emergencia de la planta de proceso y sus equipos. Estos procedimientos operativos son elementos esenciales de formación del operador humano. 1.3.3 LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD. El tercer nivel de protección de contención de riesgos está conformado por los Sistemas Instrumentados de Seguridad (SIS). Los Sistemas Instrumentados de Seguridad son sistemas automatizados, diseñados a prueba de fallas, con requerimientos de confiabilidad y disponibilidad certificada por laboratorios especializados. Están constituidos por lazos de seguridad conformados por sensores, controladores lógicos y elementos finales de seguridad, independientes de los utilizados por los Sistemas Básicos de Control. Los Sistemas Instrumentados de Seguridad aplican normalmente a variables críticas y situaciones cuyo descontrol no puede ser atendida por el operador humano debido a su complejidad, velocidad de desarrollo, y que requieren detectarse de manera temprana y oportuna. Los Sistemas Instrumentados de Seguridad no son aptos para el control del proceso y no sirven para este objeto. Son sistemas paralelos diseñados para actuar por seguridad, por lo que se impone la independencia de estos sistemas de seguridad de los sistemas de regulación y control. Y en caso de situaciones de emergencia, operarán automáticamente para llevar a la planta de proceso y sus equipos a un estado de riesgo remanente aceptado. Estos sistemas pondrán fuera de servicio los equipos, áreas del proceso y la planta misma si es requerido dentro de su estrategia de seguridad (software de seguridad). Estos sistemas deberán apegarse a los requisitos de seguridad funcional establecidos en las normas técnicas internacionales IEC-61508, IEC-61511 e ISA/ANSI S84.01 para su fabricación, diseño de aplicaciones, manejo por integradores y uso y mantenimiento por el usuario final. 12 Ejemplos prácticos de sistemas instrumentados de seguridad lo conforman los sistemas de paro de emergencia, sistemas de protección de motores, turbinas, compresores, reactores químicos, hornos, calderas, quemadores, etc., y dentro de las variables críticas encontramos vibración, desplazamiento, fricción, ausencia de flama, sobrepresión, altas temperaturas, desbalance entre fases eléctricas, descontrol de reacciones químicas catastróficas por su naturaleza, etc. También se les conoce como interlocks de seguridad debido a que sus componentes de operación y elementos finales pueden estar constituidos por relevadores eléctricos, electrónicos y/o electrónicos programables dentro de una lógica de actuación por seguridad. Algunos autores consideran dentro de la clasificación de sistemas instrumentados de seguridad a los sistemas diseñados para la detección y control de emisiones fugitivas, y los sistemas automáticos de detección y supresión de fuego (Fire & Gas Systems). 1.3.4 LOS DISPOSITIVOS MECÁNICOS ACTIVOS PROTECCIÓN (DISPOSITIVOS DE RELEVO). DE El cuarto nivel de protección de contención de riesgos está conformado por los dispositivos mecánicos activos de protección, ó dispositivos de relevo. Los dispositivos mecánicos activos y/o dispositivos de relevo, están diseñados para proteger la integridad mecánica de equipos, tuberías y recipientes. Entre estos dispositivos encontramos las válvulas de seguridad y relevo por sobrepresión (PSV), los dispositivos de relevo térmico, discos de ruptura, rompedoras de vacío, entre otros. Su función primordial es la de proteger la integridad mecánica de tuberías y recipientes, y del medio ambiente ante riesgos de alto impacto. LOS DISPOSITIVOS MECÁNICOS PASIVOS DE PROTECCIÓN (SISTEMAS DE CONTENCIÓN FÍSICA). Son todos aquellos sistemas diseñados para la canalización de fugas, desfogues, derrames, diques de acumulación, muros cortafuego, materiales de construcción no combustibles, barreras físicas, sistemas de drenaje aceitoso, drenajes químicos, de fosas de captación y tratamiento, sistemas de quemado e 13 incineración, sistemas de recolección y tratamiento de residuos peligrosos, contaminantes de suelo, agua y aire, etc. En la práctica son sistemas de protección al medio ambiente y de la salud de los trabajadores y de los habitantes en las comunidades aledañas ó regionales. 1.3.6 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS DE LA PLANTA. Lo conforman los cuerpos de bomberos, de rescate y de atención médica en planta, y de otros cuerpos especializados de contención de riesgos. Se consideran aquí también los sistemas contraincendio conformados por las redes de agua contraincendio y su equipamiento, así como la situación estratégica de equipos manuales de extinción de incendios (extinguidores fijos y portátiles). Se incluyen también los sistemas de aviso de evacuación del personal, métodos de aislamiento y avisos de trabajos peligrosos, establecimiento de vías de escape, puntos de reunión seguros, y todos aquellos planes y programas de salud y seguridad en el trabajo. 1.3.7 LOS SISTEMAS DE RESPUESTA A EMERGENCIAS Y DE CONTENCIÓN DE RIESGOS IMPLEMENTADA POR LA COMUNIDAD. Lo conforman los comités locales de ayuda mutua, sistemas de vías de escape, sistemas para la evacuación general de la población, intervención del ejército, policía, cuerpos de bomberos y de rescate de la comunidad, cuerpos especializados externos a la planta, y de todos aquellos planes y programas de salud general y de mantenimiento del entorno ambiental. 1.3.8 EL RIESGO REMANENTE ACEPTADO. Las medidas de seguridad que en última instancia se adoptan dependen de la magnitud del riesgo remanente que aún puede aceptarse. La clasificación de los niveles de protección de contención de riesgos unifica los distintos criterios, relativos a seguridad y al nivel del riesgo remanente aceptado, de los ingenieros de proceso de la planta industrial, los ingenieros de 14 mantenimiento, los ingenieros de seguridad e incluso los de la comunidad, fabricantes, diseñadores e integradores. El riesgo remanente aceptado depende de los factores siguientes: Región/País. Sociedad de la correspondiente región/país. Leyes. Evaluación de los costos. El riesgo remanente aceptado es una valoración y una decisión individual de las organizaciones industriales, de la sociedad civil y de los organismos gubernamentales, sobre una base de consenso, puesto que lo que para unos es aceptable, para otros podría ser inaceptable. 15 CAPÍTULO II 16 SEGURIDAD FUNCIONAL. LAS NORMAS IEC DE SEGURIDAD FUNCIONAL. 2.1 SEGURIDAD FUNCIONAL. Ya establecimos que uno de los indicadores para la evaluación de las medidas de seguridad es la seguridad funcional implementada, es decir –la garantía de funcionamiento de la medida de seguridad con respecto a una posible demanda real del riesgo de la planta de procesos-, expresada y cuantificada comúnmente como probabilidad de falla en demanda, PFD. La seguridad funcional como requisito de la medida de seguridad en un ambiente particular debe garantizarse para cada una de las etapas del ciclo de vida de la medida de seguridad. El ciclo de vida de cada una de las medidas de seguridad abarca las siguientes: El diseño conceptual. El diseño de la función de seguridad. La determinación del nivel de integridad de seguridad. El suministro, la construcción y la instalación. La integración y puesta en servicio (incluye pruebas pre-operacionales). La operación. El mantenimiento. La validación. El desmantelamiento. El diseño conceptual de las medidas de seguridad se basa en los resultados obtenidos de estudios del riesgo de los procesos, como son -el análisis de peligros- y -la evaluación del riesgo-. El análisis de peligros (HAZOP, por sus siglas en inglés) identifica que es “lo que tiene que ser hecho para evitar el evento peligroso”, -la función de seguridad-, y la evaluación del riesgo (QRA, por sus siglas en inglés) proporciona el nivel de integridad de seguridad requerido para la función de seguridad, para que el riesgo final sea única y seguramente el remanente aceptado. Estos dos elementos “qué f unción de seguridad tiene que ser implementada” -la función de seguridad- y “que grado de certidumbre es necesario para que la función de seguridad se lleve a cabo” -el nivel de integridad 17 de seguridad (SIL, por sus siglas en inglés)- son los cimientos de la seguridad funcional. En un concepto más amplio seguridad funcional también se refiere a la garantía global exigida a la maquinaria, la planta de procesos y los equipos, relativos al desempeño de seguridad contra fallas y peligros, desde un punto de vista independiente de los requisitos productivos. La seguridad funcional incluye los criterios del riesgo remanente aceptado como requisito primario desde la concepción y el diseño del proceso y la maquinaria, la operación, el mantenimiento y el desmantelamiento seguros que son requeridos. 2.2 LAS NORMAS IEC Hasta ahora había normas nacionales para la planificación, la construcción y la operación de las instalaciones de seguridad para la industria. Así por ejemplo, para el mercado alemán, los fabricantes y usuarios de dichas instalaciones pudieron remitirse a las normas de seguridad DIN 19250, DIN 19251 y DIN 801. Con estas normas se describía el dimensionamiento de los dispositivos relevantes para la seguridad mediante las clases de seguridad AK (Clases AK 1-8). Puesto que muchos países tenían normas distintas, y con muy variadas nomenclaturas, para el correcto funcionamiento de dispositivos de seguridad, se emitió en el año de 1998 una norma de requisitos básicos con acreditación internacional a través de la Comisión Electrotécnica Internacional (IEC por sus siglas en inglés) con sede en Génova, Suiza. Esta norma, válida para todo el mundo es la IEC 61508 “Seguridad Funcional de los Sistemas Eléctricos/ Electrónicos/ Electrónicos Programables relacionados a la Seguridad”. A partir de la norma base IEC 61508 nacieron una serie de normas de aplicación para diferentes ramas y necesidades de la industria, en las que se definieron los requisitos organizacionales y técnicos exigidos a las instalaciones de seguridad y a su implementación. En Agosto de 2004 se aprobó la norma IEC 61511 la cual es una norma de aplicaciones unificada para la industria de procesos. Ver la figura 2.1. 18 Figura 2.1 Normas que fundamentan la seguridad funcional Para la industria de procesos son relevantes las dos normas siguientes: IEC 61508 (Norma básica): Es válida en todo el mundo como base para especificaciones, diseño y operación de los Sistemas Instrumentados de Seguridad, SIS. IEC 61511 (Norma para la industria de procesos): Aplicaciones específicas de IEC 61508 para la industria de procesos. Las Normas IEC 61508 e IEC 61511 se han de emplear en sistemas relacionados con la seguridad si éstos contienen uno o más de los dispositivos siguientes: Dispositivos eléctricos (E) Dispositivos electrónicos (E) Dispositivos electrónicos programables (EP) 2.2.1 LA NORMA IEC 61508. La norma industrial internacional IEC 61508 “Seguridad Funcional de los Sistemas Eléctricos/Electrónicos/Electrónicos Programables relacionados a la Seguridad” dirigida a los diseñadores y fabricantes de equipos, establece que un Sistema Instrumentado de Seguridad SIS está compuesto por Funciones Instrumentadas de Seguridad (SIF por sus siglas en ingles). Cada Función Instrumentada de Seguridad SIF es un lazo de seguridad compuesto de tres elementos principales: Un elemento primario de medición (sensor-transmisor), un solucionador lógico, y un elemento final (Actuador de Seguridad). El propósito de la Función Instrumentada de Seguridad SIF, -medida de seguridad-, es el de 19 llevar el proceso industrial a un estado seguro (riesgo remanente aceptado) cuando se han violado condiciones extremas predeterminadas. El Solucionador Lógico del Sistema SIS puede integrar y desarrollar una ó mas Funciones Instrumentadas de Seguridad SIF, las cuales cuentan con un Nivel de Integridad de Seguridad (SIL) específico. Las normas establecen 4 niveles para el Nivel de Integridad de Seguridad, los cuales son SIL 1, SIL 2, SIL 3 ó SIL 4 (el SIL 4 es para aplicaciones nucleares). El nivel SIL 1 es el que establece más bajas especificaciones y el nivel SIL 4 el que establece mayores especificaciones. Dado que el nivel SIL representa el grado de certidumbre requerido para el desempeño de la Función Instrumentada de Seguridad, IEC 61508 determina que el nivel SIL varía en función no solo del diseño y proceso constructivo de los equipos que conforman el Lazo de Seguridad, sino también del factor de cobertura del diagnóstico de fallas que suministren estos equipos. En otras palabras, sin diagnósticos el SIL es bajo, pero se eleva cuando se provee diagnóstico en tiempo real del equipo, así como el intervalo de ejecución de pruebas del funcionamiento adecuado -intervalo de pruebas-, de la velocidad de respuesta y del tiempo medio de reparación de fallas. IEC 61508, consiste de 7 partes: IEC 61508-1 Requisitos generales. IEC 61508-2 Requisitos de los sistemas eléctricos/electrónicos/electrónicos programables relacionados a seguridad. IEC 61508-3 Requisitos de software. IEC 61508-4 Definiciones y abreviaturas. IEC 61508-5 Ejemplos de métodos para la determinación de niveles de integridad de seguridad. IEC 61508-6 Guías para la aplicación de IEC 61508-2 e IEC 61508-3. IEC 61508-7 Revisión de técnicas y medidas. 2.2.2 LA NORMA IEC 61511 La norma IEC 61511 “Seguridad funcional, -Sistemas Instrumentados de Seguridad para el Sector de la Industria de Transformación” dirigida a los usuarios finales, establece que éstos deben cumplir un ciclo de vida del SIS, el cual incluye el análisis actualizado del riesgo, diseño, instalación, c omisionamiento, 20 validación, operación, mantenimiento, modificaciones y desmantelamiento del SIS. Este ciclo requiere la implementación de procedimientos operativos de trabajo (manual de procedimientos), la documentación de las pruebas funcionales, y el registro de los eventos asociados. De este modo, el usuario que requiera la implementación de un SIS con un nivel SIL determinado, no solo debe asegurarse que el equipo que solicita y adquiere cumpla con IEC 61508, sino además debe asegurarse que él mismo cumplirá la Norma IEC 61511, mediante la actualización constante del ciclo de vida del SIS. En la actualidad, los fabricantes de equipos están desarrollando y presentando al mercado, elementos primarios de medición, solucionadores lógicos y actuadores finales de seguridad con las aprobaciones necesarias para cumplir el nivel SIL requerido, mediante la inclusión de software especializado de diagnóstico y que además ejecutan periódicamente las pruebas funcionales de los equipos de campo, el registro de resultados de estas pruebas y de los eventos asociados, y la generación de la documentación necesaria, para el cumplimiento de las normas IEC 61508 e IEC 61511en forma integral. 21 CAPÍTULO III 22 GUÍA PARA LA DETERMINACIÓN DEL NIVEL SIL. 3.1 GRÁFICA DE LOS PARÁMETROS DEL RIESGO. La tecnología de los procesos industriales incorpora riesgos por el tipo de proceso, los productos obtenidos, las materias primas utilizadas y el medio ambiente y sus circunstancias. Los sistemas instrumentados automatizados pueden reducir estos riesgos. La seguridad funcional de los instrumentos de campo y de los sistemas de monitoreo y control debe ser asegurada mediante la detección, identificación y control de las fallas de los mecanismos y del software de aplicación. El riesgo potencial de la tecnología de los procesos es determinado de acuerdo a IEC 61511. Una reducción de riesgo direccionada a cada riesgo en particular debe ser implementada. Los componentes utilizados deben cumplir los requisitos de IEC 61508 si implican el uso de tecnologías de automatización (Sistemas Instrumentados de Seguridad). Los dos estándares, IEC 61511 e IEC 61508, clasifican a los sistemas y los riesgos involucrados en cuatro niveles SIL, desde el nivel SIL 1 (riesgo potencial bajo) hasta el nivel SIL 4 (riesgo potencial y sus consecuencias muy alto). Teniendo determinados los riesgos y la necesidad de reducir estos riesgos mediante Sistemas Instrumentados de Seguridad, nos encontramos con la necesidad de establecer un Nivel de Integridad de Seguridad SIL requerido por el riesgo y que deberán cumplir las Funciones Instrumentadas de Seguridad a implementar, La gráfica mostrada a continuación, figura 3.1, de acuerdo a IEC 61508, nos ayuda a establecer en forma simplificada, la interrelación de los parámetros del riesgo con el nivel SIL requerido. Para poder utilizar la gráfica debemos responder a las siguientes circunstancias: 1) Severidad de las consecuencias si el riesgo es iniciado: C1 C2 C3 Daño leve a una persona, daño leve al ambiente. Daño grave o muerte de una persona, daño moderado al ambiente. Muerte de varias personas, daño fuerte al ambiente. 23 C4 Muerte de muchas personas, catástrofe al medio ambiente. 2) Frecuencia de exposición de personas al riesgo, frecuencia de ocurrencia del riesgo: F1 F2 Muy raramente hasta frecuente por una persona. De frecuente hasta permanente por una o mas personas. 3) Posibilidad de prevención del riesgo: P1 P2 Posibilidades de prevención. No existe forma y/o es difícil la prevención. 4) Probabilidad de inicio del riesgo: W1 W2 W3 Muy baja probabilidad, raramente ocurre. Probabilidad baja Probabilidad alta. 24 SEVERIDAD DE LAS CONSECUENCIAS PROBABILIDAD QUE EL RIESGO SEA INICIADO EXPOSICION POSIBILIDAD FRECUENCIA DE PREVENCION DEL RIESGO W3 W2 W1 A -- -- P1 1 A -- F2 P2 P1 2 1 A F1 F2 P2 P1 3 2 1 F1 P2 4 3 2 B 4 3 C1 F1 C2 C3 C4 P1 F2 P2 A B -1,2,3,4 SE REQUIERE UNA SALVAGUARDA NO SIS UN SOLO SIS NO ES SUFICIENTE ES POSIBLE SEA UN RIESGO TOLERABLE NIVEL DE INTEGRIDAD DE SEGURIDAD REQUERIDO (NIVEL SIL). Figura 3.1 Matriz para la determinación del nivel SIL requerido por el riesgo 25 3.2 ASIGNACIÓN DE LOS VALORES DE SIL. La asignación de los valores de SIL se realiza de acuerdo a la frecuencia permisible de los eventos de peligro con respecto a las consecuencias si estos eventos son iniciados. La asignación de los valores de SIL se expresan para una estimación de la Probabilidad de Falla en Demanda PFD como a continuación se detallan en la tabla 3.1. Riesgo Frecuencia Nivel máxima permisible Consecuencias SIL del riesgo (evento/año). Falla en demanda de la Medida de seguridad, PFD (evento/año). Bajo Lesiones a una persona 1 1.0 x 10-1 10-1 < PFD < 10-2 Moderado Muerte de una persona 2 1.0 x 10-2 10-2 < PFD < 10-3 Severo Muerte de varias personas 3 1.0 x 10-3 10-3 < PFD < 10-4 Catastrófico Muerte de muchas personas 4 1.0 x 10-4 10-4 < PFD < 10-5 Tabla 3.1 Asignación de los valores de SIL requeridos por el riesgo. La frecuencia máxima permisible está dada en el número de eventos de riesgo por año (eventos peligrosos / año). La Probabilidad de Falla en Demanda, PFD, está dada en el número de fallas de la medida de seguridad por año (fallas peligrosas / año). Son valores prácticamente idénticos, sin embargo, es más fácil identificar y cuantificar las fallas (historial de fallas) en los componentes físicos de una medida de seguridad, mediante pruebas de Laboratorio en “simuladores de fallas” y mediante la compilación de datos de experiencias de campo, por lo que los valores de PFD, son de importancia relevante. 26 CAPÍTULO IV 27 LA CARACTERIZACIÓN DE LOS NIVELES SIL. 4.1 NIVEL DE INTEGRIDAD DE SEGURIDAD (SIL). Nuevamente, establecimos que uno de los indicadores para la evaluación de las medidas de seguridad es la seguridad funcional implementada, es decir –la garantía de funcionamiento de la medida de seguridad con respecto a una posible demanda real del riesgo de la planta de procesos-. Esta garantía de funcionamiento se apoya en el cumplimiento de los requisitos del riesgo tanto por la función de seguridad implementada como por el Nivel de Integridad de Seguridad SIL. Donde el Nivel de Integridad de Seguridad SIL, -requerido por el riesgo-, es el grado de certidumbre del sistema relativo a seguridad de ejecutar la función de seguridad requerida bajo todas las condiciones establecidas dentro de un periodo de tiempo establecido, donde la combinación riesgo-medida de seguridad-medio ambiente, son considerados como un todo. 4.2 LA PROBABILIDAD DE FALLAS. La norma IEC 61508 establece que es más fácil identificar y cuantificar las condiciones y causas de fallas en los instrumentos (hardware) que conforman las funciones de seguridad, para poder establecer una garantía de funcionamiento de la función de seguridad cuando es requerida en un periodo de tiempo dado. Dos clases de SIL, son identificadas dependiendo del servicio provisto por la función de seguridad de acuerdo a los requisitos del riesgo: Para funciones de seguridad que son activadas únicamente cuando son requeridas (modo de baja demanda). Para funciones de seguridad que están continuamente activadas, la probabilidad de una falla peligrosa de la función de seguridad es expresada en términos de horas (modo continuo). 28 Probabilidad de falla (funciones de seguridad). Modo de operación “en demanda”, Modo de operación PFDprom. (probabilidad promedio de “continuo”, PFH Nivel falla para ejecutar la función (probabilidad de falla SIL diseñada bajo una demanda, peligrosa, expresada en expresada en años) horas) -5 -4 4 ≥ 10 a < 10 ≥ 10-9 a < 10-8 3 ≥ 10-4 a < 10-3 ≥ 10-8 a < 10-7 2 ≥ 10-3 a < 10-2 ≥ 10-7 a < 10-6 1 ≥ 10-2 a < 10-1 ≥ 10-6 a < 10-5 Tabla 4.1 Probabilidad de fallas de la función de seguridad. De los datos proporcionados por la tabla 4.1, observamos que, si después del análisis del riesgo se decide que la función de seguridad deberá cumplir con un SIL inferior a SIL 1, uno de los requisitos de IEC 61508 es que cuando un proceso es considerado benigno, con riesgos tolerables, los componentes del Sistema Básico de Control de Procesos, los cuales se desempeñan como del tipo continuo, si tienen alguna función relativa a seguridad deben demostrar al menos tener una tasa de fallas peligrosas de 10-5 por hora. El cumplimiento de las tasas de falla requeridas se logra mediante el uso de componentes eléctricos y/o electrónicos de buena calidad, del mejor diseño y arquitectura. 4.3 CARACTERIZACIÓN DE LOS COMPONENTES DEL SIS PARA RECLAMAR UN CUMPLIMIENTO SIL. IEC 61508 establece para la asignación de un nivel SIL a una Función Instrumentada de Seguridad SIF, que los componentes de la función de seguridad, además de cumplir las condiciones de falla en demanda y/o falla por hora, deberán cumplir los parámetros siguientes: la “fracción de falla segura” y la “tolerancia a fallas del hardware”. 4.3.1 LA FRACCIÓN DE FALLA SEGURA. La Fracción de Falla Segura (SFF por sus siglas en inglés) es una fracción que se obtiene del total de fallas de los instrumentos, que son estimadas ya sea 29 como fallas seguras y/o detectables por el software de diagnóstico, y las estimadas como “fallas peligrosas”, entonces tenemos los siguientes términos: se guro = Tasa de falla de componentes dirigido a un estado seguro. = Tasa de falla de componentes dirigido a un estado potencialmente peligroso. Estos términos son posteriormente categorizados como “detectables” y “no detectables” para reflejar la habilidad del software de diagnóstico embebido en el instrumento, como sigue: dd = Tasa de fallas peligrosas detectables. = Tasa de fallas peligrosas no detectables. La suma de todas las tasas de falla es expresada como: total = seguros + peligrosos Entonces, la fracción de falla segura SFF puede ser calculada como: SFF = 1- / total IEC 61508 establece 4 bandas expresadas en porciento para la Fracción de Falla Segura SFF, como sigue: <60%, de 60% a <90%, de 90% a <99%, >99%. Evidentemente el valor de la Fracción de Falla Segura es un indicador de la capacidad de cobertura del software de diagnóstico embebido en el instrumento y/o sistema. Por lo tanto, las bandas de SFF establecidas por IEC 61508 en realidad son 4 especificaciones de calidad del software de autodiagnóstico con respecto a la cobertura de fallas. 30 4.3.2 LA TOLERANCIA A FALLAS DEL HARDWARE. IEC 61508 considera la integridad segura del hardware y entonces define dos subsistemas. Para el subsistema tipo A considera que todos los posibles modos de falla son determinados para todos los elementos, mientras que para el subsistema tipo B no es posible completamente determinar el comportamiento bajo condiciones de falla. SUBSISTEMA TIPO A. Por ejemplo: características: Un transmisor de campo contiene las siguientes Los modos de falla de todos los componentes están bien definidos. El comportamiento bajo condiciones de falla puede ser completamente determinado. Los datos de la experiencia en campo son suficientes y confiables y muestran que las tasas de fallas peligrosas detectables y no detectables publicadas son cumplidas. Entonces, un Instrumento con características del subsistema tipo A, puede reclamar un cumplimiento de un nivel SIL especifico, de acuerdo a la tabla 4.2. Fracción de Falla segura, SFF < 60% 60% a < 90% 90% a < 99% > 99% Tabla 4.2 Tolerancia a Fallas del Hardware, HFT 0 1 2 SIL 1 SIL 2 SIL 3 SIL 2 SIL 3 SIL 4 SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo A relativos a seguridad. SUBSISTEMA TIPO B. Por ejemplo: Un solucionador lógico contiene las siguientes características: 31 El modo de falla de por lo menos un componente no es bien definido. El comportamiento bajo condiciones de falla no puede ser completamente determinado. Los datos de la experiencia en campo son insuficientes para demostrar que las tasas de fallas peligrosas detectables y no detectables publicadas son cumplidas. Entonces, un instrumento con características del subsistema tipo B, puede reclamar un cumplimiento de un nivel SIL especifico, de acuerdo a la tabla 4.3. Fracción de Falla Segura, SFF < 60% 60% a < 90% 90% a < 99% > 99% Tabla 4.3 Tolerancia a Fallas del Hardware, HFT 0 1 2 No permitido SIL 1 SIL 2 SIL 1 SIL 2 SIL 3 SIL 2 SIL 3 SIL 4 SIL 3 SIL 4 SIL 4 Integridad de seguridad del hardware (IEC 61508-2, parte 2), subsistemas tipo B relativos a seguridad. En las tablas 4.2 y 4.3, una Tolerancia a Fallas del Hardware de “N” significa que “N+1” fallas pueden causar una pérdida de la función de seguridad. Por ejemplo, si un subsistema tipo A ó B, reclaman tener una “Tolerancia a Fallas” de 1, esto quiere decir que se requiere que ocurran 2 fallas en el sistema para que la función de seguridad se pierda. 4.3.3 UN EJEMPLO: Aplicación en modo de “Baja Demanda”. Sistema de Paro de Emergencia. Un Sistema de Paro de Emergencia (ESD por sus siglas en inglés) es utilizado para poner “fuera de operación” un proceso industrial ó parte del mismo, en forma segura, en caso de una falla del Sistema Básico de Control del Proceso (IEC lo define como BPCS), ó cuando determinados parámetros críticos exceden límites pre-establecidos. 32 Un ESD es utilizado para proteger contra daños físicos de los equipos, daño al proceso industrial, pérdida de vida humana, daños severos al medio ambiente. El sistema ESD es casi siempre un sistema separado al Sistema Básico de Control, y generalmente tiene sus propios sensores y actuadores dedicados al mismo. Una aplicación típica se muestra en el diagrama siguiente (figura 4.1): Figura 4.1 Diagrama esquemático de un ESD. Las características relevantes de los dispositivos de entrada/salida al PLC de seguridad (Solucionador Lógico) en un Sistema ESD son las siguientes: Entradas analógicas tipo 4-20 mA son usadas para la comunicación con los diferentes Transmisores de valores críticos. Salidas digitales normalmente energizadas son utilizadas para las válvulas de seguridad, las cuales pueden ser válvulas de corte y/o válvulas de relevo. Entradas digitales son utilizadas para monitorear contactos “libres de voltaje”. El monitoreo de fallas en los conductores eléctricos se realiza mediante resistores de “fin de línea”, utilizados para identificar y reportar circuitos abiertos y/o cortocircuito en el cableado de campo. 33 Probabilidad de Falla en Demanda. La Probabilidad de Falla en Demanda para cada una de las funciones de seguridad manejadas por el sistema ESD, es la suma de las probabilidades promedio de cada elemento de la función de seguridad: Figura 4.2 Suma de probabilidades promedio. Podemos observar que todos los componentes de la función de seguridad están operando en modo “continuo”, aunque la función de seguridad opera en modo “Bajo Demanda”, entonces: PFDprom total para la función de seguridad es: PFDprom = 5x10-4 + 1x10-4 + 5x10-4 + 3x10-4 + 6.1x10-3 = 7.5x10-3 Los límites de SIL 2 para PFDprom es ≥ 10-3 a < 10-2, entonces para esta Función de Seguridad el Nivel de Integridad de Seguridad es SIL 2. Alternativas de Arquitectura de la Función de Seguridad. Si la arquitectura de la función de seguridad de nuestro ejemplo es la siguiente (figura 4.3): 34 Figura 4.3 Arquitectura de la función de seguridad La Tolerancia a Fallas del Hardware de la Función de Seguridad es Cero (N = 0) puesto que una falla en cualquiera de los componentes conlleva a la pérdida de la función de seguridad (también conocidos como sistemas 1oo1). Si la arquitectura de la función de seguridad considera un segundo transmisor para la variable crítica según se muestra (figura 4.4), tendremos: Figura 4.4 Arquitectura de la función de seguridad considerando un segundo transmisor para la variable crítica La Tolerancia a Fallas del Hardware de la Función de Seguridad es uno (N = 1) puesto que una falla en cualquiera de los componentes no conlleva a la pérdida de la función de seguridad (también conocidos como sistemas 1oo2). Para esta presunción partimos de los siguientes datos: Para el transmisor de presión, du = 100x10-9, total = 0.34, SFF = 66%; por lo tanto: 35 total = 2.9x10-7, du/ Sistema 1oo1 SFF = 66% N=0 subsistema tipo A calificación SIL 2 Sistema 1oo2 SFF = 66% N=1 subsistema tipo A calificación SIL 3 Para el Solucionador Lógico (PLC de seguridad), 1.77x10-6, du/ du = 100x10-9, total = total = 0.06, SFF = 94%, N = 1, subsistema tipo B; por lo tanto: SFF = 94% N=1 subsistema tipo B 36 calificación SIL 3 CONCLUSIONES. 37 La industria de procesos requiere que las medidas de seguridad que se implementan como sistemas de reducción de riesgos cumplan con parámetros estandarizados desde su concepción hasta inclusive su desmantelamiento. Cada sistema de reducción de riesgos deberá incluir una función de seguridad y un determinado nivel de certidumbre de que la función de seguridad actuará si es demandada por el riesgo. Tanto la función de Seguridad como el nivel de certidumbre de seguridad deberán ser determinados de acuerdo a la severidad de las consecuencias del riesgo y a la frecuencia de exposición al riesgo. Si los sistemas de reducción de riesgos utilizan dispositivos eléctricos, electrónicos y/o electrónicos programables deberán cumplir los requisitos establecidos en las normas IEC 61508 e IEC 61511, las cuales son de aprobación internacional. Las normas IEC 61508 e IEC 61511 introducen el concepto seguridad funcional, el cual viene determinado por un Nivel de Integridad de Seguridad (SIL por sus siglas en inglés) para cada función de seguridad y para cada uno de los componentes de la función de seguridad. Asimismo, las normas permiten el uso de diferentes arquitecturas y la utilización de tecnologías diversas para la conformación de las medidas de seguridad. Las normas no dicen “como debe hacerse ni con que elementos”, pero si establecen “los requisitos funcionales que deben cumplirse”. 38 BIBLIOGRAFÍA Brown, Simon. IEC 61511 Safety Instrumented Systems Overview & Current Status. HM Principal Specialist Inspector Control & Instrumentation Systems Health & Safety Executive. November 13, 2002. en: http://docs.google.com/gview?a=v&q=cache:0barKV5IWq0J:www.sipi61508.co m/ciks/uk.browns.pdf+iec+61511&hl=es&gl=mx Exida. IEC 61508 Overview Report. Sellersville, PA 18960, USA. Version 2.0. January 2, 2006. en: http://74.125.95.132/search?q=cache:xly8N7QqhLAJ:www.exida.com/articles/ie c61508_overview.pdf+iec+61508&cd=6&hl=es&ct=clnk&gl=mx http://books.google.com.mx/books?id=kta4crf5K8sC&pg=PA102&dq=instrumentacion +industrial&lr=&as_brr=0 http://www.emb.cl/electroindustria/articulo.mv?xid=916&edi=49 http://www.iir.es/Evento/eventonew_clean_v1_00.asp?idConvocatoria=4109&idEvento =4208 http://webmessenger.msn.com/ http://books.google.com.mx/books?id=uCHD9MsrM8C&pg=PA10&dq=seguridad+funcional&lr=&as_brr=1&client=news http://images.google.com.mx/imgres?imgurl=http://www.schneiderelectric.com.mx/opencms/opencms/Newsletter/img/07jul08_04_seguridad_01.g if&imgrefurl=http://www.schneiderelectric.com.mx/opencms/opencms/Newsletter/DisplayNewsletter.jsp%3FFileN ame%3D30jul08/04_seguridad.html&usg=__TNKvB18SBnX6uB_l_OSnxXYDCw=&h=313&w=299&sz=26&hl=es&start=26&tbnid=6Z6CHk9T_RgXM:&tbnh=117&tbnw=112&prev=/images%3Fq%3Dsistemas%2Bin strumentados%2Bde%2Bseguridad%26ndsp%3D18%26hl%3Des%26lr%3D% 26client%3Dnews%26sa%3DN%26start%3D18 http://www.siemens.com/sil 39 http://www.siemens.com/safety http://www.siemens.com/processanalytics http://www.siemens.com/processsafety http://www.siemens.com/processinstrumentation Ruíz, J. Sistema de seguridad IEC 61508. SIEMSA CONTROL Y SISTEMAS, S.A. en: http://docs.google.com/gview?a=v&q=cache:OXpHe4UgkewJ:www.isaspain.org/images/biblioteca_virtual/redundancia%2520sist..pdf+iec+61508&hl= es&gl=mx 40 GLOSARIO C ESD F Hazop IEC MSI P PFD PLC PSV QRA SBCP SFF SIF SIL SIS W Severidad Paro de Emergencia Frecuencia Análisis de peligro Comisión Electrotécnica Internacional Medidas de Seguridad Independientes Posibilidad Probabilidad de Falla en Demanda Control de Presión Baja Válvulas de Seguridad Evaluación de Riesgo Sistemas Básicos de Control de Procesos Fracción de Falla Segura Funciones Instrumentadas de Seguridad Nivel de Integridad de Seguridad Sistemas Instrumentados de Seguridad Probabilidad 41