SIS – Sistemas Instrumentados de Seguridad - Parte 1

Una visión práctica – Parte 1

Introducción

Los Sistemas Instrumentados de Seguridad (SIS) se utilizan para monitorear los valores y parámetros de una fábrica dentro de los límites de funcionamiento, y bajo condiciones de riesgo deben generar alarmes y poner la planta en condiciones seguras o también en paradas de emergencia.

Las condiciones de seguridad deben siempre seguirse y adoptarse en plantas y las mejores prácticas de funcionamiento e instalación y son responsabilidad tanto de empleadores como de empleados. Téngase en mente que el primer concepto de las regulaciones de seguridad es garantizar que todos los sistemas sean instalados y manejados de manera segura y el segundo es que instrumentos y alarmes involucrados en seguridad funcionen con confiabilidad y eficiencia.

Los Sistemas Instrumentados de Seguridad son responsables por la seguridad operacional y garantizan las paradas de emergencia dentro de límites considerados seguros, siempre que se ultrapasen estos límites. El objetivo principal es evitar accidentes dentro y fuera de las fábricas, tales como incendios, explosiones, daños a los equipos, además de proteger la producción y la propiedad, evitando riesgos de vida o daños a la salud de las personas e impactos catastróficos a la comunidad. Téngase en cuenta todavía que ningún sistema es totalmente inmune a fallos y siempre deben proveer una condición segura en caso de fallo mecánico.

Durante muchos años los sistemas de seguridad fueron proyectados según los padrones alemanes DIN V VDE 0801 y DIN V 19250, que fueron bien aceptados por mucho tiempo por la comunidad mundial de seguridad y culminó en los esfuerzos de alcanzar un estándar internacional, el IEC 61508. Esta norma actualmente abarca todos los aspectos de seguridad industrial involucrando sistemas eléctricos, electrónicos y dispositivos programables para cualquier sector de actividad, notadamente los de naturaleza electromecánica. 

Los productos certificados según el IEC 61508 deben tratar básicamente de 3 tipos de fallos:

• Fallos aleatorios de hardware
• Fallos de sistemas
• Fallos de causas comunes

El IEC 61508 se divide en 7 partes de las cuales las 4 primeras son obligatorias y las 3 restantes sirven de guías de orientación:

• Parte 1: Requisitos generales
• Parte 2: Requisitos para sistemas relacionados con seguridad E/E/P/E
• Parte 3: Requisitos de Software
• Parte 4: Definiciones y abreviaturas
• Parte 5: Ejemplos de métodos para determinar los niveles de integridad de seguridad
• Parte 6: Guías de aplicación de IEC 61508-2 y IEC 61508-3
• Parte 7: Conceptos básicos de técnicas y medidas 

Este estándar trata de manera sistemática de todas las actividades del ciclo de vida de un SIS, Sistema instrumentado de Seguridad, y trata de la performance exigida del sistema, o sea, siempre que se alcance el nivel de SIL (nivel de integridad de seguridad) necesario, el nivel de redundancia y el intervalo de prueba quedan a criterio de quien especificó el sistema.

El IED 61508 intenta potencializar la mejoría de los PES (Programmable Electronic Safety), que abarcan los PLC, los sistemas de control distribuido, sensores y actuadores inteligentes, etc, de manera a uniformizar los conceptos involucrados.

Recientemente diversas normas sobre desarrollo, proyecto y mantenimiento de SIS han sido elaborados, tales como la IEC 61508, relativo a industrias en general y también la IEC 61511, vuelto a las industrias de proceso continuado, de líquido y gases.

En la práctica existen muchas aplicaciones y especificaciones de equipos con certificación SIL para utilización en sistemas de control, sin función de seguridad. También se cree que el mercado es desinformado, donde se prefiere la compra de equipos más caros, desarrollados para funciones de seguridad, pero en realidad se aplicarán en funciones de control de proceso, cuya certificación SIL no resulta en los beneficios esperados, que dificultan la utilización y el funcionamiento de los equipos.

Además, la desinformación lleva los usuarios a creer que poseen un sistema de control seguro certificado, que son no más que un dispositivo de control con funciones certificadas de seguridad.

El crecimiento del uso y de las aplicaciones de equipos e instrumentos digitales es de suma importancia a los profesionales de proyectos o del día a día de la instrumentación que se capaciten y adquieran el conocimiento de cómo determinar el desempeño exigido por los sistemas de seguridad y tengan el dominio de las herramientas de cálculos y las tasas de riesgo ubicadas dentro de límites aceptables. 

Por otro lado, es necesario:

• Comprender los fallos de modo común, saber cuales tipos de fallos seguros y no seguros son posibles en un determinado sistema, como prevenirlas y aún más: cuando, como, donde y cual es el grado de redundancia más adecuado a cada aplicación.
• Definir el nivel de mantenimiento preventivo o mismo certificados de cada aplicación.

El simple uso de equipos modernos, sofisticado o certificados por si mismos no garantiza la mejoría de confiabilidad y seguridad de la maniobra, en comparación a las tecnologías tradicionales,  excepto cuando el sistema se implanta bajo criterios reveladores de las ventajas y limitaciones inherentes a cada tipo de tecnología existente. Además, débese tener en cuenta toda la cuestión del ciclo de vida de un SIS.

Comúnmente vemos accidentes relacionados con dispositivos de seguridad contornados/ocurridos(?) en la operación o durante el mantenimiento. Seguramente es muy difícil evitar, durante la etapa del proyecto, que un fallo de estos venga a ocurriren el futuro, pero a través de un proyecto criterioso y vuelto a satisfacer mejor las necesidades operacionales del usuario del sistema de seguridad, es posible eliminar o reducir considerablemente los bypassesno autorizadas (¿?).(Se não for, me avisem, para meu conhecimento)

El funcionamiento correcto de un SIS requiere condiciones de desempeño y diagnósticos superiores a los sistemas convencionales. La operación segura de un SIS se compone de sensores, programadores lógicos, procesadores y elementos finales proyectados con la finalidad de causar una parada siempre que se están ultrapasando límites seguros, tales como variables de proceso como presión y temperatura por encima de los límites de alarme muy altos, o aún impedir el funcionamiento indeseable de condiciones seguras de operación.

Ejemplos típicos de sistemas de seguridad:

• Sistema de Parada de Emergencia  (ESD)
• Sistema de Parada de Seguridad (SSD)
• Sistema de trabamiento de Seguridad
• Sistema de Fuego y Gas 

 En seguida, veremos una serie de artículos, nuevos detalles prácticos abarcando cálculos de probabilidad, conceptos de confiabilidad, fallos y seguridad, SIS, etc.

Iniciaremos con el Ciclo de Vida de Seguridad y el Análisis de Riesgos.

Ciclo de Vida de Seguridad

Definición: “Es un proceso de ingeniería con el objetivo específico de alcanzar y garantizar la efectividad de un SIS y permitir la reducción de niveles de riesgos a un costo rentable durante todo el tiempo de vida del sistema”.

En otras palabras, el ciclo se destina  a ser un guía de evaluación de riesgo durante todo el tiempo de vida del sistema, desde la concepción del proyecto al mantenimiento diario.

¿Porque el Ciclo de Vida de Seguridad?

• Accidentes suelen ocurrir y por eso existe la necesidad de reducir los en frecuencia y gravedad.
• Sistemas Instrumentados de Seguridad y Ciclo de Vida de Seguridad son proyectados para minimizar riesgos.

Figura 1 – Ejemplo típico de un Ciclo de Vida de Seguridad

El ciclo de Vida de Seguridad abarca análisis de probabilidades destinadas a garantizar la integridad del proyecto de seguridad. Además, posibilita la reducción de riesgos a un costo rentable a través de los cálculos. Mantener la integridad de un SIS durante el ciclo de vida de la fábrica es sumamente importante para la supervisión de la seguridad. Un programa efectivo de supervisión debe incluir controles y procedimientos rigurosos que garantizan:

• Identificar puntos críticos, conceptos y elegir dispositivos sensores, tecnología, logic solver (solucionador lógico), equipos y elementos finales, además de la necesidad  de redundancia, que satisfacen los niveles de seguridad y la reducción calculada de riesgos. Siempre que se elijan la tecnología y la arquitectura, con un plan de análisis y revisión periódica de ellas, reevaluando la seguridad en todos sus aspectos.
• Las pruebas en cada etapa (proyecto, instalación, manejo, modificación/mantenimiento) se realicen según los requisitos de seguridad, procedimientos y normas de seguridad.
• Que el SIS vuelva a su estatus de operación normal tras el mantenimiento.
• La integridad del sistema no sea perjudicada por acceso no autorizado a la programación, puntos de trip o bypasses.

El Ciclo de Vida de Seguridad debe integrar el PSM (Process Safety Management System –Sistema de Supervisión de Seguridad del Proceso). De esta manera el será adoptado y aplicado convenientemente, involucrando los colaboradores en todas las etapas y niveles de la empresa.

Análisis de Riesgos

Cuanto más riesgos un sistema tiene, más difícil es satisfacer los requisitos de un sistema seguro. Básicamente, el riesgo es la suma de la probabilidad de suceder algo indeseable con la consecuencia de esta ocurrencia.

El riesgo de un proceso se puede definir como el producto de la frecuencia de ocurrencia de un cierto evento (F) por la consecuencia resultante de la ocurrencia del evento (C).

Riesgo = F x C. 

Figura 2 – Consideraciones de riesgo según la  IEC 61508.

En los sistemas de seguridad la búsqueda se hace por la minimización de riesgos en niveles tolerables y se pueda determinar el nivel SIL para un lazo de control a través del control y la identificación de los riesgos del proceso. La verificación del nivel SIL puede hacerse vía la probabilidad de fallo bajo demanda (PFD).

La IEC61508 define los requisitos para funcionalidad e integridad de un sistema. Los requisitos de funcionalidad se basan en el proceso y los de integridad se vuelven a la confiabilidad, definida como el Nivel de Integridad de Seguridad (SIL). Existen 4 niveles discretos y que tienen 3 importantes propiedades:

• Aplicable a la total función de seguridad;
• Cuanto mayor el nivel de SIL, mas rígidos son los requisitos;
• Aplicables a los requisitos técnicos y no técnicos 

Tabla 1 – Niveles de SIL

Como interpretar el nivel SIL? Hemos visto que el nivel SIL es una medida de integridad de un SIS y podemos interpretar básicamente de dos maneras:

1) Teniéndose en cuenta la reducción de riesgo y la tabla 1:

• SIL1: reducción de riesgo >= 10 y <=100
• SIL2: reducción de riesgo >= 100 y <=1000
• SIL3: reducción de riesgo >= 10000 y <=10000
• SIL4: reducción de riesgo >= 10000 y <=100000 

2) Interpretando la tabla 2, donde, por ejemplo, SIL 1 significa bajo riesgo de accidente o algo indeseable, y que el SIS tiene 90%, o más, una posibilidad de fallo.

Tabla 2 – Niveles de SIL y SFF según la tolerancia a fallo de hardware

La evaluación de SIL ha crecido en los últimos años principalmente en aplicaciones químicas y petroquímicas. Se puede mismo expremir la necesidad del nivel SIL en función del probable impacto en la planta y en la comunidad:

"4" – Impacto catastrófico a la comunidad.
"3" – Protección de los empleados y la comunidad.
"2" – Protección de la producción y de la   propiedad. Posibles daños a los empleados.
"1" – Impacto pequeño a la propiedad  y protección a la   producción. 

Figura 3 – SIL en función del probable impacto en la planta y en la 

Este análisis es insatisfactorio pues es difícil clasificar lo que sea un impacto pequeño y un impacto grande. Hay varios métodos de identificación de los riesgos:

• Técnica de HAZOP (Hazard and Operability Study) donde se identifican los riesgos y se son necesarios niveles de SIL mayores;
• Técnica de Listas de Chequeo;
• Técnica de FMEA (Modos de Fallos y sus Efectos), que analiza el fallo de cada equipo y componente del circuito de control. 

En términos de nivel SIL, cuanto mayor es el nivel exigido, mayor será el costo, debido a las especificaciones mas compleja y estrictas de hardware y software. Normalmente la elección del SIL de cada función de seguridad está asociada a la experiencia de los profesionales, pero se puede optar por el análisis de la matriz de HAZOP o aún el Análisis de lo extractos  de Protección (LOP – Layers of Protection), que abarcan la política, los procedimientos, las estrategias de seguridad y la instrumentación.

Siguen algunas etapas y detalles del Análisis de Riesgos:

• Identificación de riesgos potenciales
• Iniciar con HAZOP (Estudio de Peligro y Problemas Operacionales).
•  La empresa debe tener un grupo de especialistas en el proceso y sus riesgos.
• Se pueden aplicar diversas tecnologías como PHA (Proceso de Análisis de Peligros), HAZOP para identificación de riesgos, HAZOP modificado, consecuencias de accidentes, matriz de riesgos o análisis cuantitativo para identificación del nivel de seguridad deseado.
• Las normas sugieren metodologías para identificación de SIL.
• Los métodos disponibles son cualitativos, cuantitativos o semi-cuantitativos.
• Determinar el SIL adecuado al SIS, cuyo riesgo inherente al proceso debe ser igual o inferior al nivel de riesgo aceptable, garantizando la seguridad necesaria a la operación de la planta.

• Avaluar la probabilidad  de riesgo potencial relacionado a
  • Fallo de equipos
  • Errores humanos
• Evaluar  los riesgos potenciales y las consecuencias de los impactos de eventos

Frecuencia	4	SIL 2	SIL 3	SIL 4	SIL 4
	3	SIL 2	SIL 3	SIL 3	SIL 4
	2	SIL 1	SIL 2	SIL 3	SIL 3
	1	SIL 1	SIL 1	SIL 2	SIL 2
Severidad de la Consecuencia		1	2	3	4