© Siemens AG 2011 SIMATIC Safety Matrix La herramienta de gestión para todas las fases del ciclo de vida de seguridad Folleto · Septiembre 2010 Safety Integrated Answers for industry. © Siemens AG 2011 Seguridad funcional y gestión del ciclo de vida de seguridad Asignación de tareas de seguridad a niveles de protección Análisis Especificación de exigencias de seguridad (SRS) para el sistema instrumentado de seguridad (SIS) Diseño y planificación del sistema instrumentado de seguridad (SIS) Diseño y planificación de otras medidas para reducir los riesgos Instalación, puesta en marcha y validación Verificación Estructura y constitución del ciclo de vida de seguridad Gestión y evaluación de la seguridad de funcionamiento Estimación de riesgos y determinación de los niveles de protección Realización Operacion y mantenimiento Operación Modificación Puesta fuera de servicio En el modelo del ciclo de vida de seguridad especificado en la norma IEC 61511 se describen las fases de la planta o instalación En la industria de procesos, tanto la construcción como la puesta en marcha de instalaciones que albergan peligros potenciales están sujetas a la norma internacional IEC 61511, el estándar para la seguridad funcional de sistemas instrumentados de seguridad. En este caso, la descripción del modo de proceder a la hora de implementar la seguridad funcional se atiene al ciclo de vida de seguridad (Safety Lifecycle) de la planta, el cual está dividido en tres fases: fase de análisis, fase de realización y fase de operación y mantenimiento. Por lo general es necesario documentar estas tres fases y todas las actividades asociadas a ellas que estén relacionadas con la seguridad funcional. Los documentos constituyen la base del certificado de seguridad de la planta y de los sistemas de seguridad empleados. También cuando se lleva a cabo alguna modificación, es necesario volver a pasar y documentar las tres fases. 2 Seguridad funcional y gestión del ciclo de vida de seguridad Fase de análisis Con el fin de detectar posibles peligros y evaluar los riesgos que albergan, las instalaciones de procesos con peligros potenciales deben analizarse de forma concreta. Un método apropiado para tal finalidad es, por ejemplo, el análisis denominado HAZOP (Hazard Operational Analysis). Con ayuda de los resultados obtenidos con el análisis y de su evaluación se establecen los niveles de protección y las tareas y funciones de seguridad asociadas a ellos. El sistema instrumentado de seguridad (SIS, Safety Instrumented System) es uno de los niveles de protección. Uno de los resultados fundamentales del análisis es la especificación de los requisitos de seguridad (SRS, Safety Requirement Specification) para el sistema instrumentado de seguridad. En la especificación SRS se describen todas las funciones de seguridad (SIF, Safety Instrumented Function), incluyendo los requisitos que se deben cumplir, y se fija el nivel de seguridad exigido (SIL). El nivel SIL es una medida para la reducción de riesgos. © Siemens AG 2011 Fase de realización La especificación SRS sirve de base para planificar la planta o instalación y, especialmente, para dimensionar el sistema instrumentado de seguridad (SIS) y sus funciones al efecto, así como para tomar otras medidas destinadas a reducir los riesgos. La SRS es decisiva a la hora de elegir tanto el SIS como el hardware y software para implementar las funciones de seguridad. A la planificación y el diseño les siguen el montaje, la puesta el marcha y la validación de la planta. Además de las funciones y requisitos de seguridad, la SRS también incluye los tests y criterios de comprobación correspondientes, por lo que sirve igualmente de modelo para la verificación y la validación. SIMATIC Safety Matrix Los resultados obtenidos en la comprobación de los objetivos estipulados en la SRS se deben documentar conforme a las directivas sobre seguridad funcional. Los documentos se necesitarán más tarde para la aceptación de las funciones y el sistema de seguridad. Fase de operación y mantenimiento Esta fase comprende la operación y optimización de la planta o instalación hasta el momento de su puesta fuera de servicio. Con SIMATIC Safety Matrix Siemens ofrece una herramienta para la gestión del ciclo de vida de seguridad certificada por TÜV para aplicaciones de seguridad hasta SIL 3 conforme se especifica en la norma IEC 61508. SIMATIC Safety Matrix se puede utilizar en todas las fases del ciclo de vida de seguridad. La racionalización que se consigue contribuye en gran medida a reducir los gastos de capital (CAPEX, Capital Expenditure) y los gastos de operación (OPEX, Operational Expenses). SIMATIC Safety Matrix consta de los siguientes productos individuales, que se distinguen por su funcionalidad y campo de aplicación: • Safety Matrix Editor • Safety Matrix Engineering Tool • Safety Matrix Viewer Productos Fases del ciclo de vida de seguridad soportadas Áreas Safety Matrix Editor Fase de análisis, fase de realización Creación, configuración, comprobación y documentación de la lógica de Safety Matrix Modos de operación Hardware básico (sistema de destino) Modo offline PC autónomo con sistema operativo Windows XP Professional/Server 2003 Modos offline y online PC autónomo con sistema operativo Windows XP Professional/Server 2003 Creación de un archivo matriz CEM para importar Safety Matrix Engineering Tool Fase de análisis, fase de realización, fase de operación y mantenimiento Creación, configuración y compilación de una matriz de seguridad (Safety Matrix) Importación/exportación de un archivo matriz CEM SIMATIC PCS 7 Engineering Station (ES) Transferencia al proyecto, compilación, carga, manejo y visualización del programa CFC de seguridad Comparación de matrices de seguridad partiendo de archivos matriz CEM y esquemas CFC Informe de configuración y comprobación de coherencia con informe de validación Safety Matrix Viewer Fase de operación y mantenimiento Manejo y visualización del programa CFC de seguridad Modo online SIMATIC PCS 7 Operator Station (OS) Campo de aplicación de los productos SIMATIC Safety Matrix Seguridad funcional y gestión del ciclo de vida de seguridad 3 © Siemens AG 2011 SIMATIC Safety Matrix en la fase de análisis Evaluación de peligros y riesgos; Definición de los niveles de protección Asignación de las tareas de seguridad a los niveles de protección Realización En la fase de análisis, el objetivo es detectar y analizar riesgos para la seguridad, tanto conocidos como potenciales, por ejemplo, con el método HAZOP. Éste sirve para filtrar riesgos no tolerables, evaluar la probabilidad de que exista un peligro y calcular las posibles consecuencias. Después se elabora un plan de seguridad para la planta. En él se asignan las tareas de seguridad a los distintos niveles de protección de la planta. En dicho concepto, el sistema instrumentado de seguridad (SIS, Safety Instrumented System) desempeña un importante papel. La definición y la descripción de los requisitos del SIS en forma de especificación constituyen la base de la planificación, la ingeniería y la aceptación de la planta. Durante las diferentes fases del ciclo de vida de seguridad son varias las personas que trabajan con esta especificación; por eso es importante formular los requisitos de seguridad de forma fácilmente comprensible. Prevención de desastres Especificación de los requisitos de seguridad (SRS) En la SRS se definen los requisitos que debe cumplir el sistema de seguridad. Parte de la SRS es la descripción funcional de las funciones de seguridad, así como todas las condiciones generales que harán que se activen. Además, la determinación del nivel integrado de seguridad (SIL) es objeto de una observación detallada de cada función de seguridad. 1) Safety Integrity Level Probability of failure on demand (PFD) per year1) Risk Reduction Factor = 1/PFD SIL 4 ≥ 10-5 a < 10-4 10 000 a 100 000 SIL 3 ≥ 10-4 a < 10-3 1 000 a 10 000 SIL 2 ≥ 10-3 a < 10-2 100 a 1 000 SIL 1 ≥ 10-2 a < 10-1 10 a 100 Demand mode of operation Prevención de desastres Colector Prevención pasiva Válvula de sobrepresión, diafragma de ruptura Sistema de seguridad (automático) Prevención activa Sistema instrumentado de seguridad (SIS) Safety shutdown Intervención del personal de la planta Alarma de proceso Sistema de control de procesos Automatización básica Valor de proceso Comportamiento normal Concepto de seguridad y niveles de una planta 4 SIMATIC Safety Matrix en la fase de análisis Operación Especificación de los requisitos de seguridad (SRS) al sistema instrumentado de seguridad (SIS) © Siemens AG 2011 Safety Matrix Editor Definición de los vínculos de causa y funciones Matriz de causas y efectos La definición de las causas se realiza en las líneas de la tabla de matriz. Las causas que se derivan de las señales digitales y analógicas pueden resultar de hasta 3 señales. También se pueden considerar otros requisitos adicionales como, por ejemplo, retardos. Un procedimiento que ha demostrado su efectividad en la descripción funcional de funciones de seguridad y en la definición de condiciones generales y de desconexión es el método de causas y efectos. Éste fue especificado por el Instituto Americano del Petróleo (API) en la directiva API RP 14C y en la actualidad se está aplicando a muchos sectores de la industria de procesos. Siemens ha integrado en SIMATIC Safety Matrix el método de causas y efectos definido por el API. SIMATIC Safety Matrix permite incluir funciones de seguridad ya en la fase de análisis y describirlas y formularlas con claridad de modo que todos los participantes las comprendan. Además, no es necesario tener conocimientos especiales de programación. Por eso, incluso los propios especialistas en procesos pueden definir requisitos con SIMATIC Safety Matrix. Los efectos se definen en las columnas de la tabla de matriz. Una causa puede tener efecto hasta en 4 actuadores diferentes. El enlace de varias causas y la definición de la relación entre causas y efectos se realiza en las intersecciones de las líneas y columnas. Aquí se fija también si se espera una confirmación o una reinicialización. Las causas también se pueden juntar en grupos de selección. Así se puede implementar, por ejemplo, una votación de "2 de 3". A destacar ■ 128 causas por matriz ■ 128 efectos por matriz ■ 1024 intersecciones por matriz ■ Hasta 3 entradas por causa ■ Hasta 4 salidas por efecto Ventajas ■ No hace falta tener conocimientos de programación ■ Comprensibilidad para todos ■ Vista compacta de todas las funciones de seguridad Definición de una causa SIMATIC Safety Matrix en la fase de análisis 5 © Siemens AG 2011 SIMATIC Safety Matrix en la fase de realización Diseño y planificación de otras actividades para la reducción de riesgos Montaje, puesta en marcha y validación Análisis Operación Diseño y planificación del sistema instrumentado de seguridad (SIS) La fase de realización comienza con el diseño y la planificación del sistema instrumentado de seguridad y demás medidas destinadas a reducir los riesgos. A esto le sigue el montaje, la puesta en marcha y la validación. Durante la planificación se ponen en práctica las funciones de seguridad especificadas. En caso de utilizar SIMATIC Safety Matrix, se seguirá contando con las funciones de seguridad definidas en la fase de análisis en forma de matriz de causas y efectos, la cual se puede adoptar directamente sin ninguna limitación. Es decir, ahora ya no es necesario convertir a un lenguaje de programación específico del sistema las funciones de seguridad definidas en la SRS, tal y como era habitual antes con el método convencional. Esto redunda en un claro ahorro en costes de ingeniería. Asignación de las señales de entrada y salida 6 SIMATIC Safety Matrix en la fase de realización La conexión con la planta se establece asignando las causas y los efectos a las entradas y salidas de SIMATIC S7-400F/FH. Ahora se pueden realizar otras ampliaciones y parametrizaciones en SIMATIC Safety Matrix. Entre ellas figura el ajuste de los valores límite y las histéresis de los valores analógicos, así como la definición de la discrepancia máxima en el enlace de varios valores de medida analógicos. Mediante bloques de función para el procesamiento previo de las señales (por ejemplo, para convertir un valor de entrada) también existe la posibilidad de integrar cálculos complejos en la matriz de seguridad. Los bloques de función correspondientes se pueden seleccionar en el driver de canal de la señal de E/S. Selección de los bloques de función para preprocesado de señales © Siemens AG 2011 Determinación de la respuesta en el tiempo y las funciones de mantenimiento Definición de alarmas y asignación Por otro lado, también existe la posibilidad de configurar simulaciones y bypasses con derechos de acceso para la puesta en marcha y el posterior funcionamiento. La herramienta de ingeniería SIMATIC Safety Matrix se puede conmutar directamente a la vista online para tareas de comprobación y test. Alternativamente se puede utilizar el Safety Matrix Viewer en la SIMATIC PCS 7 Operator Station. Un bypass se puede controlar, por ejemplo, directamente desde SIMATIC Safety Matrix o mediante una señal de entrada (interruptor de llave). La posibilidad de asignar causas y efectos a 3 perfiles de alarma respectivamente proporciona más claridad a la hora de visualizar las alarmas y permite al operador detectar problemas con celeridad y reaccionar rápida y directamente. Así, la reducción de los tiempos de parada incrementa en gran medida la disponibilidad de la planta. La conversión a una lógica de programación ejecutable es automática. Basándose en CFC (Continous Function Chart), la herramienta de ingeniería SIMATIC Safety Matrix genera, con los bloques de función de la librería F en S7 F Systems, una lógica de programación para cada matriz y los drivers de canal para todos los canales de E/S seguros. A continuación ya se puede compilar la lógica de programación CFC y cargar en el controlador. La generación automática de la lógica de programación CFC está aceptada y certificada por el organismo TÜV. Funciones integradas en SIMATIC Safety Matrix para la comprobación de la coherencia, la documentación y la simulación, así como para la comparación de archivos y esquemas asisten al personal encargado de la configuración, la puesta en marcha y la supervisión a la hora de realizar el test y la aceptación de la aplicación de seguridad. La aceptación de la aplicación de seguridad normalmente es llevada a cabo por centros autorizados u organismos oficiales. Dado que estas personas por lo general no tienen conocimientos especiales de programación, el uso de SIMATIC Safety Matrix les resulta muy beneficioso para su actividad. En el modo online, el auditor puede seguir en la pantalla las funciones de seguridad especificadas en la SRS casi 1:1. Es decir, no es necesario recapacitar ni cambiar a un lenguaje de programación determinado. Esto acorta el tiempo necesario para la aceptación y la planta puede comenzar antes con la producción. SIMATIC Safety Matrix en la fase de realización 7 © Siemens AG 2011 Lo más destacado de SIMATIC Safety Matrix 8 ■ Enlaces directos de causas como 2oo3 (2 de 3), Y, O ■ Definición de la señal de disparo al editar las causas ■ Consideración de requisitos de tiempo en causas y efectos ■ Consideración de errores en la señal y el módulo ■ Procesamiento previo del valor ■ Efecto en hasta 4 actuadores ■ Simulación integrada y función de bypass ■ Limitación integrada de la simulación a 1 sensor de un grupo de votación ■ Disparo en caso de causa activa, sin memorización ■ Funciones adicionales ■ Comparación de matrices para el seguimiento de cambios ■ Informe de validación integrado ■ Informe de configuración, documentación de matrices ■ Informe de modificaciones Ventajas ■ Procesamiento directo de la especificación de seguridad SRS al crear el programa ■ Visualización idéntica de la matriz en la configuración, la operación y la documentación Disparo en caso de causa activa, con memorización, requiere reinicialización ■ Vista homogénea y comprensión para todos los participantes ■ Disparo en caso de causa activa, con posible inhibición transitoria ■ Reducción del tiempo necesario para planificación, implementación y aceptación ■ Votación XooN ■ Formación de grupos de seguridad ■ Grupos de alarmas ■ Alarmas previas y alarmas por discrepancia SIMATIC Safety Matrix en la fase de realización © Siemens AG 2011 SIMATIC Safety Matrix en la fase de operación Análisis Realización Operación y mantenimiento Modificación Puesta fuera de servicio Alarma previa Sinóptico del proceso de una estación de operador con el Safety Matrix Viewer en pantalla Durante la conducción del proceso, es conveniente que el operador detecte a tiempo las desviaciones que resulten relevantes y que pueda reaccionar con rapidez. Ello exige un manejo fácil e intuitivo del sistema de automatización, sobre todo cuando se trata de procesos críticos en materia de seguridad en los que la planta se para si el operador no es capaz de localizar a tiempo la causa de la alarma y de tomar las medidas necesarias para impedirlo. Las funciones de mantenimiento integradas en SIMATIC Safety Matrix ayudan a comprobar el estado del sensor y permiten inhibirlo transitoriamente para cambiarlo o comprobarlo en el exterior. De este modo se evitan paros de la planta o su desconexión. Los sensores y actuadores también se pueden inhibir transitoriamente para realizar un test de comprobación. SIMATIC Safety Matrix ofrece la posibilidad de llamar la atención del operador con alarmas previas ante una situación crítica inminente y de mostrar la causa y su correspondiente efecto. Así, el operador puede ver de inmediato cuál es el sensor discrepante o defectuoso y ordenar de inmediato su comprobación o tomar las medidas necesarias para eliminar la causa del fallo. SIMATIC Safety Matrix en la fase de operación 9 © Siemens AG 2011 En el SIMATIC Safety Matrix Viewer, las posibilidades de manejo que se le ofrecen al operador dependen de los derechos que le hayan sido asignados en el sistema de control de procesos SIMATIC PCS 7. De esta forma se garantiza que sólo el personal autorizado pueda inhibir o simular dispositivos de campo. Los eventos y alarmas relevantes para el proceso son transferidos al sistema de operador (OS) del sistema de control de procesos SIMATIC PCS 7 e integrados en el sistema de alarmas (avisos). Esto permite archivar conjuntamente los avisos y alarmas del Basic Process Control System (BPCS) y del sistema de seguridad. Las matrices se llaman con iconos o símbolos de bloques ubicados en la interfaz de usuario de SIMATIC PCS 7. Éstos pueden estar vinculados a toda la matriz o sólo a una determinada causa o efecto. Desde la vista detallada de una causa o efecto se puede cambiar en todo momento a la vista general de la matriz y viceversa. Mantenimiento El mantenimiento se puede optimizar aún más integrando los sensores seguros en la gestión de activos. Mediante indicadores agrupados junto al símbolo de bloque que sirve para llamar la matriz el operador reconoce si hay alguna advertencia, alarma o función de mantenimiento activa. Tras abrir la correspondiente vista de la matriz, el operador obtiene información más detallada al respecto. La matriz de seguridad se puede manejar y visualizar tanto en el modo online de la herramienta de ingeniería SIMATIC Safety Matrix como en la estación de operador del sistema de control de procesos SIMATIC PCS 7 con ayuda del Safety Matrix Viewer. Las intervenciones quedan documentadas y se pueden archivar para el la gestión del ciclo de vida de seguridad. A destacar ■ Funciones de mantenimiento integradas como bypass y simulación ■ Indicación de todos los valores de proceso relevantes, incluso durante el mantenimiento ■ Posibilidad de ver toda la información relevante en la plantilla Ventajas Documentación de intervenciones y eventos 10 SIMATIC Safety Matrix en la fase de operación ■ Orientación óptima del operador ■ Mantenimiento de los sensores y actuadores en función del proceso ■ Reducción de los tiempos de parada © Siemens AG 2011 SIMATIC Safety Matrix: La herramienta de gestión del ciclo de vida de seguridad Fase de realización Las funciones de seguridad definidas con SIMATIC Safety Matrix se pueden adoptar directamente. Sólo hay que hacer algunos ajustes específicos del sistema de seguridad SIMATIC S7-400F/FH. El proyectista, el operador y el supervisor tienen siempre la misma vista, comprensible para todos. La representación de las funciones de seguridad es homogénea en la configuración, la operación y la documentación. Durante la operación aparecen marcados en color los estados de la señal y la información adicional. Todo esto hace que se acorte considerablemente el tiempo necesario para las tareas de ingeniería, comprobación y aceptación. Fase de operación Safety Matrix Viewer El uso consecuente de SIMATIC Safety Matrix en todas las fases del ciclo de vida de seguridad reduce los gastos de capital (CAPEX) y los gastos de operación (OPEX). SIMATIC Safety Matrix convence por sus ventajas en todas las fases. Durante la fase de operación, y gracias a la orientación optimizada que SIMATIC Safety Matrix ofrece al operador, éste puede reaccionar de forma rápida y concreta ante los eventos que se presenten. También tiene la posibilidad de simular sensores y actuadores, en especial durante el mantenimiento. El uso del SIMATIC Safety Matrix Viewer permite reducir los tiempos de parada de la planta. Fase de análisis SIMATIC Safety Matrix no requiere tener conocimientos de programación. Por eso puede ser utilizada por igual por ingenieros de procesos, supervisores y proyectistas. Resumen de las ventajas ■ No hace falta tener conocimientos de programación Las funciones de seguridad se definen con el método de causas y efectos. ■ Comprensibilidad para todos ■ Vista compacta de todas las funciones de seguridad La vista de causas y efectos es compacta, clara y comprensible para todos. ■ Procesamiento directo de la especificación de seguridad SRS al crear el programa ■ Visualización idéntica de la matriz en la configuración, la operación y la documentación ■ Vista homogénea y comprensión para todos los participantes ■ Reducción del tiempo necesario para planificación, implementación y aceptación ■ Orientación óptima del operador ■ Mantenimiento de los sensores y actuadores en función del proceso ■ Reducción de los tiempos de parada SIMATIC Safety Matrix: La herramienta de gestión del ciclo de vida de seguridad 11 © Siemens AG 2011 Información adicional Si lo desea, podrá encontrar información más detallada en los manuales SIMATIC Guide: www.siemens.com/simatic-docu Puede solicitar otras publicaciones sobre SIMATIC en: www.siemens.com/simatic/printmaterial Encontrará documentación técnica detallada en nuestro portal de asistencia y servicio técnico: www.siemens.com/automation/support Si prefiere mantener una conversación personal, encontrará a los responsables más próximos a su localidad en: www.siemens.com/automation/partner En la página Industry Mall puede hacer pedidos directamente por Internet: www.siemens.com/industrymall Información detallada sobre el sistema de control de procesos SIMATIC PCS 7 en: www.siemens.com/simatic-pcs7 Siemens AG Industry Sector Industrial Automation Systems Postfach 4848 90026 NUREMBERG ALEMANIA Sujeto a cambios sin previo aviso PDF (E86060-A4678-A261-A1-7800) 3P.8315.15.03 / Dispo 09508 BR 0910 12 Es Impreso en Alemania © Siemens AG 2010 www.siemens.com/process-safety Este folleto contiene descripciones o prestaciones que en el caso de aplicación concreta pueden no coincidir exactamente con lo descrito, o bien haber sido modificadas como consecuencia de un ulterior desarrollo del producto. Por ello, la presencia de las prestaciones deseadas sólo será vinculante si se ha estipulado expresamente al concluir el contrato. Reservada la posibilidad de suministro y modificaciones técnicas. Todos los nombres de productos pueden ser marcas registradas o nombres protegidos de Siemens AG u otras empresas proveedoras suyas cuyo uso por terceros para sus fines puede violar los derechos de sus titulares.