Análisis, Diseño de SISTEMAS INSTRUMENTADOS

DE SEGURIDAD

ANTECEDENTES• La industria moderna ha debido atravesar un proceso de

crecimiento que siempre ha estado acompañado delaprendizaje de los errores, debido a la necesidad humanade crear nuevos procesos y alternativas de desarrolloadecuadas. Dentro de este proceso de desarrollo, uno delos principales ejes ha sido la modernización de loscontroles de variables básicas con el fin de crear

ANTECEDENTES• Sistemas confiables que garanticen el bienestar de

las propiedades y la vida de los trabajadores.vComo resultado de esta nueva necesidad, las industrias

productivas del mundo se han dado a la tarea de crearmetodologías y equipos para garantizar la seguridad delos procesos industriales, es a partir de la década de los70´s, cuando aparecen por primera vez conceptos como:

ANTECEDENTES• Sistemas confiables que garanticen el bienestar de

las propiedades y la vida de los trabajadores.vComo resultado de esta nueva necesidad, las industrias

productivas del mundo se han dado a la tarea de crearmetodologías y equipos para garantizar la seguridad delos procesos industriales, es a partir de la década de los70´s, cuando aparecen por primera vez conceptos como:

INTRODUCCIÓN

• La seguridad funcional es la parte de la seguridad global que depende del funcionamiento correcto del proceso o equipo en respuesta a sus entradas.

• La seguridad funcional es un término introducido en la norma IEC 61508:1998.

INTRODUCCIÓN

• La seguridad funcional cubre una amplia gama dedispositivos que son utilizados para crear sistemas deseguridad. Dispositivos tales como enclavamientos, relésde seguridad, PLC de seguridad, contactores deseguridad y variadores de seguridad se interconectanpara formar un sistema de seguridad, el cual realizauna función específica con fines de seguridad.

CONCEPTOS• AccidenteEs todo acontecimiento repentino, como vertido, emisión,incendio o explosión de gran magnitud, en el curso de unaactividad dentro de una instalación expuesta a riesgo deaccidente mayor, en el que están implicadas una o variassustancias químicas peligrosas y que…

CONCEPTOS• Accidente

Expongan a los trabajadores, a la población y/o al medio ambiente, y a las propias instalaciones a un

peligro grave, inmediato y/o diferido, real o potencial.

CONCEPTOS• Entonces…

ENERO 20 DE 2004.

REFINERÍA MÁS GRANDE DE ARGELIA

ENERO 20 DE 2004. Refinería de Skikda a 500 Km de Argelia… 23 muertos y 9 desaparecidos

DESASTRES INDUSTRIALES

COSTO APROXIMADO

DE LOS ACCIDENTES

“Vivimos en unos tiempos cuando el medio ambiente y los temores sobre el futuro del planeta NO importan a los CODICIOSOS

CAPITALISTAS”

CONCEPTOS• ¿Qué es un PELIGRO?????

Toda propiedad física o química inherente a un procesoindustrial con POTENCIAL y CAPACIDAD de daño decualquier magnitud.

CONCEPTOS• ¿Y un RIESGOOOOO?????

Es un peligro Identificado y Evaluado en función de suPROBABILIDAD de OCURRENCIA y POTENCIAL DEDAÑO.

CONCEPTOS• ¿Y un RIESGOOOOO?????

Matemáticamente, el Riesgo es una relación entre el Nivelde DAÑO (o consecuencia), que producirá un accidentey la PROBABILIDAD (frecuencia) de que este accidenteOCURRA.

CONCEPTOS

• O en Términos Claros:

RIESGO = PROBABILIDAD * CONSECUENCIA

PRINCIPALES RIESGOS

CONCEPTOS• ¿Qué es un ANÁLISIS DE RIESGO?Son todas aquellas acciones encaminadas a:

Identificar, Evaluar y AnalizarEl significado de los peligros asociados a la ejecución de unproceso productivo específico y la operación de un sistemaespecífico, proporcionando elementos para la

TOMA de DECISIONES.

CONCEPTOS• ANÁLISIS DE RIESGO¿Cuál es la probabilidad de que ocurra un evento dañino ycuáles son las consecuencias si ocurren?

Las instalaciones de procesos tienen demasiadoscomponentes de equipo que cada uno contribuye a lo quese llama RIESGO INHERENTE. Es el riesgo que existedebido a la naturaleza del proceso, incluyendo el equipo ylos materiales presentes.

CONCEPTOS• ANÁLISIS DE RIESGOAl definir de manera matemática el Riesgo, se puedecuantificar su Nivel y establecer así Niveles de Riesgo queserán ACEPTABLES o INACEPTABLES,

Valores que variarán según circunstancias sociales y culturales, diferentes para cada

sociedad, región o país.

Riesgo Inaceptable, Tolerable y Aceptable• Pregunta

¿Es aceptable que una persona muera a causa de un accidente Industrial?

Riesgo Inaceptable, Tolerable y Aceptable

Riesgo Inaceptable, Tolerable y Aceptable• Pregunta

¿Considera aceptable que una personamuera a causa de fumar, o por viajar enautomóvil?

Riesgo Inaceptable, Tolerable y Aceptable

¿Dónde está la Diferencia??????

Riesgo Inaceptable, Tolerable y Aceptable

Riesgo Inaceptable, Tolerable y Aceptable

Tienen que ser ACEPTABLE para

la sociedadRegión o país

Leyes Costo

Depende

Riesgo Inaceptable, Tolerable y Aceptable• Probabilidades de Muerte por Accidente en México:

• 0.12 en 1 millón de morir por accidente aéreo.• 22.8 en 1 millón de morir ahogado por inmersión de agua.• 149 en 1 millón de morir por homicidio.

Riesgo Inaceptable, Tolerable y Aceptable• Probabilidades de Muerte por Accidente en México:

• 157 en 1 millón de morir en un accidente automovilístico.• 640 en 1 millón de morir de diabetes.

Base de Datos de Defunciones 2007, INEGI.

Riesgo Inaceptable, Tolerable y Aceptable• Se define como Nivel de Riesgo Aceptable: A un valor numérico, establecido por la Autoridad (local,nacional o internacional), que define el Nivel de Riesgo, pordebajo del cual, podrá aceptarse que las personas y/o lapoblación y/o el medio ambiente y/o el patrimonio de laEmpresa, sean expuestos.

Riesgo Inaceptable, Tolerable y Aceptable

Riesgo Inaceptable, Tolerable y Aceptable

FRR = Factor de Reducción de Riesgo

Capas de Protección

LOPA(Layers of Proteccíon

Analysis)

LOPA Capas de ProtecciónLa metodología de LOPA fue introducida a principio de losaños 90´s, y ha ganado popularidad en los últimos añoscomo técnica para la determinación del SIL. En laliteratura encontramos que LOPA es referida como unatécnica de valoración del riesgo y como una herramientade análisis de riesgo.

Características Capas de ProtecciónEspecíficos: Una capa de protección deberá estardiseñada para prevenir o mitigar las consecuencias de unevento potencialmente peligroso.

Independiente: Una capa de protección deberá serindependiente de otras capas y NO deberá tener una fallade causa común (CCF).

Características Capas de ProtecciónAuditable: Una capa de protección debe estar diseñadapara que pueda ser validada.

Confiable: Una capa de protección deberá actuar deacuerdo a la intención de su diseño.

Capas de Protección

Capas de ProtecciónA) Control Distribuido: Se utiliza para monitorear ycontrolar los procesos en las plantas. El desempeño deestos sistemas se refleja en la calidad del producto y en laeficiencia de la plantas. En un momento dado, si el controlse pierde, el proceso puede llegar a convertirse enpeligroso para el personal y para la comunidad. También elmedio ambiente se puede ver afectado.

Capas de ProtecciónB) Paro de Emergencia: Cuando el control de proceso seconvierte en peligroso, en ese momento debe de actuar elsistema de protección de Paro de Emergencia, el cualincluye el elemento primario (transmisor) el PLC deseguridad (logic solver) y el elemento final (válvula),parando un equipo, una área de la planta, o la plantacompleta.

Capas de ProtecciónC) Gas y Fuego: Cuando se detecta un conato de fuego,el sistema, ( detectores, PLC de seguridad y elementosfinales) deberán de mitigar el fuego y también deberán demandar su señal al sistema de Paro de Emergenciapara que este corte o bloqué a través del SIS el punto endonde existe la fuga que está ocasionando el fuego.

Capas de ProtecciónD) Control Crítico : También conocido como Sistema deInterlocks. Se utiliza principalmente en aplicaciones dereactores. Normalmente en un conjunto de reactores, unode ellos sale a regeneración, debido a la actividad delcatalizador, mientras que el resto sigue trabajando. Existeuna íntima relación entre el reactor que sale de operar y elque entra a operar en variables tales como Presión yTemperatura.

Definiciones

Desempeño vs Prescriptivo

Definiciones

¿Qué significa DESEMPEÑO?????

DefinicionesLas normas de desempeño trabajan bajo un Objetivo.

Normas de DESEMPEÑO

Beneficios Limitaciones

Definiciones

¿Qué significa PRESCRIPTIVO?????

DefinicionesLas normas prescriptivas son Obligatorias.

Normas PRESCREPTIVAS Beneficios Limitaciones

IEC 61511Ha sido desarrollada para el sector procesos bajo la IEC61508.

Norma de DESEMPEÑO.

IEC 61511

IEC 61508“ Cualquier componente de todo equipo puede fallar…”• El Principal Objetivo de la IEC61508, es el uso de

Sistemas Instumentados de Seguridad para reducir elRiesgo a un Nivel Aceptable tomando en cuenta el Ciclode Vida de la Seguridad en el Hardware y Software, y entoda su documentación.

• Publicada en el año 1998, y actualizada en el 2000, hasido tomada en cuenta por los principales proveedores deequipo para cumplir con los niveles de Integridad SIL.

IEC 61508

Si se quiere diseñar un SISTEMA INSTRUMENTADO DE SEGURIDAD CONFIABLE, necesitamos entender como

un SISTEMA DE SEGURIDAD puede Fallar.

Seguridad Funcional IEC61508-0 3.1

Seguridad:Es la ausencia de Riesgos que pueden ocasionar un daño físico o daños en la salud de la gente, de manera directa o indirecta, como consecuencia de un accidente que provoca destrucciones de propiedades y daño al medio ambiente.

Seguridad Funcional IEC61508-0 3.1

Seguridad Funcional:Es parte del concepto de seguridad pero referenciado a un sistema de equipos. El cual debe operar correctamente con

base a sus datos de entrada.

Seguridad Funcional IEC61508-0 3.3Requerimientos a cumplir con la Seguridad Funcional:1.- Función Instrumentada de Seguridad (FIS).

Identificación del Riesgo.2.- Integridad de la Seguridad.

Probabilidad que la Función de Seguridad se llevará acabo de manera satisfactoria (SIL).

Evaluación del Riesgo.

Seguridad Funcional IEC61508-0 3.3

Las normas IEC 61508 / 61511, NO indican las Funciones de Seguridad NI el Nivel de Integridad necesario para

alguna aplicación en particular

Función Instrumentada de SeguridadTiene como objetivo la Reducción del Riesgo en unaaplicación, con la finalidad de llevarlo a un EstadoSeguro.Una FIS siempre está relacionada a un Lazo de Seguridad,y NO a un componente o a un equipo.

Función Instrumentada de SeguridadEjemplos de Funciones Instrumentadas de Seguridad:üUna FIS puede detectarla fuga de sustancias tóxicas y

evitar qué estas se difundan en el ambiente, cerrandoválvulas de paso deteniendo así la fuga.üUna FIS puede detectar el incremento de la presión

dentro de un reactor de Proceso y activar las válvulas dealivio necesarias a fin de evitar la explosión del reactor yla posterior liberación de sustancias tóxicas y/oinflamables a la atmósfera.

Función Instrumentada de Seguridad

Función Instrumentada de SeguridadExisten 5 importantes Características:üSensorüResolvedor LógicoüActuadorüTiempoüSIL

Ubicación de la FIS

Asignación del SIL de lasFIS que están en la

Capa SIS

Niveles de Integridad SILEl SIL (definido originalmente por la Norma ISA S84.01 enel año 1996, actualizado por la Norma IEC 61508 yadoptado por la IEC 61511 (para la Industria de Procesos),nos da una idea del valor que tendrá el FRR de la SIF.

Niveles de Integridad SIL

El número SIL indica el nivel de probabilidad de que el sistema de seguridad satisfaga correctamente las funciones

de seguridad requeridas en un tiempo determinado.

Cuanto mayor es el número del nivelde seguridad integral (SIL), mayores la reducción de riesgos.

Valoración cualitativa del SIL• SIL-1: Para protección menor de la planta y la

producción.• SIL-2: Para protección mayor de la planta y la

producción. Posible daño a los empleados.• SIL-3: Para protección mayor de la planta y la

producción, así como protección de los empleados y lacomunidad.

Valoración cualitativa del SIL

• SIL-4: Para impactos Catastróficos en la comunidad(Ejem. Bhopal India-1984, hubo 7,000 muertos)

El SIL se deberá calcular en cada

FIS

Por lo tanto es un ¡Error! Si consideramos un valor de SIL absoluto para toda la planta….. Lo cuál

sucede todos los días.

Elementos que Conforman un SIS

1.- Estudio de Análisis de Riesgo

2.- Sistemas de Seguridad

3.- Certificados

4.- llenar junto con el cliente SRS

5.- Configurar los sistemas y hacer

pruebas FAT y SAT

6.- Verificar ciclo de vida de la aplicación

En donde se produce la mayor cantidad de ERRORES

¿Por qué fallan los SISTEMAS

Una FALLA ocurre cuando un dispositivo NO realiza con éxito su trabajo para la función que fue hecho.

En un SIS, una falla puede causar eventos como daños y costos

potenciales

¿Por qué fallan los SISTEMAS• De acuerdo a la IEC 61508, un equipo / sistema puede

fallar debido a las siguientes causas:• Fallas Aleatorias (Random Failures)

IEC 61508-2 (Tablas A16 – A18)

• Fallas de Causa Común (Common Cause Failures) IEC 61508-6 Anexo D

• Fallas Sistemáticas (Systematic Failures) IEC 61508-2,3 (Tablas B1-B5 y A1-B9)

Fallas Aleatorias (Físicas)Una falla aleatoria en el hardware es una falla que resultade uno o más mecanismo de degradación del hardware.

De ahí que una falla física sucede cuando un componente ocomponentes dentro de un producto se degrada a unpunto de falla.

Fallas Sistemáticas (Funcional)Ocurre cuando el sistema es capaz de operar pero NOrealiza su función.

Un ejemplo de esto es “se bloqueó el software”.

Fallas Sistemáticas: resultado de fallas de diseño o erroreshumanos, pueden ser permanente o eventuales.

Causas de las FALLASLas fallas de los productos son causadas por una variedadde razones y pueden originarse de manera interna oexterna:

Causas Internas: Típicamente son el resultado de la degradación del producto. (Diseño del producto, fallas en

la manufactura (proceso)).

Causas de las FALLAS

Causas Externas: son debido a la tensión –trabajo-(stress) expuesta al producto. (Medio Ambiente, Fallas de

Mantenimiento y Operación).

Equipo / Sistema SeguroUn Equipo ó Sistema es Funcionalmente Confiable, sí:

Las fallas aleatorias (random failures), las fallas porcausa común (common cause failures) y las fallassistemáticas (systematic failures) del Equipo ó Sistema

funciona correctamente de acuerdo a su datos de entrada.

Equipo / Sistema Seguro

Pero…

¿Qué pasa sí un equipo o sistema de seguridad, funciona mal?

Equipo / Sistema SeguroPone en riesgo:

- La vida de los trabajadores y la comunidad.

- Daños al medio ambiente.

- Perdida de producción o a las instalaciones.

Equipo / Sistema SeguroY cuando Fallan, existen 2 modos de FALLAS:

- Falla Peligrosa (Dangerous Failure Mode).

Se tiene una falla peligrosa, cuando el sistema de seguridadNO puede ejecutar las Funciones de Seguridad cuando sele requiere.

Equipo / Sistema Seguro- Falla Segura (Safe Failure Mode).

Se tiene una Falla Segura, cuando el Sistema de Seguridadejecuta la(s) Funciones de seguridad cuando NO se lerequiere.

Esto se expresa como Fallas Espurias (Spurious Failure) o disparos en falso.

Equipo / Sistema Seguro- El reto de la seguridad funcional es:

Diseñar un sistema para prevenir lasFALLAS PELIGROSAS o mantenerlas bajo control.

Índice de FallaDesde el punto de vista Confiabilidad…

La variable es Tiempo de falla (T).

Es importante estudiarlos para generar un parámetroimportante:

Failure Rate = Indice de Fallas

Índice de FallaEl Índice de Fallas es utilizado como una medida deConfiabilidad, y esta definido como el No. de Fallas porunidad de tiempo, esto es:

Índice de Falla

Certificación TÜVEntidad de pruebas alemana independiente, reconocida entodo el mundo. (Technischer Überwachungs-Veeriein)(Technical Supervisory Association).

Son la única organización internacional a la cual puedeacudir el cliente para consultar, que lo que está ofreciendoel proveedor es verdadero. “Confirma la honestidad delproveedor”.

Certificación TÜVEmite un certificado con base a ciertos estándaressolicitados por el propio fabricante.

Beneficia al fabricante mejorando el producto y minimizandola necesidad de evaluar los sistemas uno por uno.

Beneficia al usuario con evaluaciones imparciales de lossistemas.

Certificación TÜVEjemplos:Juguetes infantiles.Neumáticos de coche.Agua embotellada.SIS (IEC 61508).Válvulas Controladoras.Etc.

MTTF / MTTR / MTBFMTTF (Mean Time To Failure).Es el tiempo previsto durante el cual el sistema funcionaráantes de la primera FALLA

MTTR (Mean Time To Repair).Es el tiempo medio previsto durante el cual el sistema sereparará después de una FALLA.

MTTF / MTTR / MTBFMTBF (Mean Time Between Failure).Es el tiempo medio que transcurre en el lapso de dosFALLAS.

MTBF = MTTF + MTTR

¿ Qué significa DISPONIBILIDAD?Es un valor entre 0 y 1.

Si lo multiplicamos por 100 tendremos el porcentaje del tiempo que un sistema está disponible Mientras más se

acerque al 1 (100%), será mucho mejor.

¿ Qué significa CONFIABILIDAD?

¿ Qué significa CONFIABILIDAD?

¿Qué significan los 9’s de la “Disponibilidad”?

¿El 99.90% es suficientemente bueno?(Parte baja del rango del SIL-3)

Sí solicitamos un sistema que únicamente cumpla con unadisponibilidad de 99.90 en lugar de 99.99, podrá significar losiguiente:

¿El 99.90% es suficientemente bueno?(Parte baja del rango del SIL-3)

• 1h de agua contaminada en la ciudad de México/mes.• Dos aterrizajes inseguros por día, en el aeropuerto

internacional de la ciudad de México.• 16,000 cartas pérdidas en el correo por hora.• 20,000 recetas médicas incorrectas por año.• 500 intervenciones quirúrgicas equivocadas por semana.• 22,000 cheques que se cargan a la cuenta equivocada

por hora.

¿El 99.99% es suficientemente bueno?

(Parte alta del rango del SIL-3)

¿Cómo mejora sí solicitamos 99.99% (parte alta del SIL-3),en lugar de 99.9%?

¿El 99.99% es suficientemente bueno?(Parte alta del rango del SIL-3)

• 1s de agua contaminada en la ciudad de México/mes.• Dos aterrizajes inseguros cada 5 años, en el aeropuerto

internacional de la ciudad de México.• 7 cartas pérdidas en el correo por hora.• 8 recetas médicas incorrectas por año.• 0.1intervenciones quirúrgicas equivocadas por semana.• 7 cheques que se cargan a la cuenta equivocada por

hora.