SIS – Sistemas Instrumentados de Seguridad - Parte 5
Una visión práctica – Parte 5
La parte inicial del artículo es igual al artículo de la parte 1 hasta el tópico Ciclo de Vida de Seguridad
Soluciones Típicas de SIF (Función Instrumentada de Seguridad)
¿Como determinar la arquitectura?
- La arquitectura de una SIF se determina por la tolerancia a fallos de sus componentes.
- Con el uso de redundancia, puede alcanzar un nivel mas elevado.
- La cantidad de equipos va a depender de la confiabilidad de cada componente definida en su FMEDA (Failure Modes, Effects and Diagnostic Analysis).
- Las tres arquitecturas mas comunes son:
- Simplex o votación 1oo1 (1 out of 1)
- Duplex o votación 1oo2 o 2oo2
- Triplex o votación 2oo3
Simplex o votación 1oo1 (1 out of 1)
El principio de votación 1oo1 abarca un sistema de canal único y es normalmente concebido para aplicaciones de seguridad de bajo nivel. Inmediatamente resuelta en la pérdida de la función de seguridad o el cierre del proceso.
Duplex o votación 1oo2 o 2oo2
El principio de votación 1oo2 se desarrollo para mejorar el desempeño de integridad de seguridad de sistema de seguridad basados en 1oo1. Si ocurrir un fallo en un canal, el otro todavía es capaz de realizar la función de seguridad. Infelizmente, este concepto no mejora la tasa de falsos trips. Peor aún, la probabilidad de falso trip casi duplica.
2oo2: La principal desventaja de un sistema de seguridad único (o sea, no redundante) es que un único fallo lleva inmediatamente a un trip. La duplicación de canales en aplicación 2oo2 reduce significativamente la probabilidad de falso trip, una vez que ambos canales deben fallar para el sistema se ponga en shutdown. Por otro lado, el sistema tiene la desventaja de que la probabilidad de fallo en la demanda sea dos veces mayor que la de un único canal.
Triplex o votación 2oo3
2oo3: Esta votación tiene tres canales, dos de los cuales necesitan estar listos para operar y cumplir con las funciones de seguridad. El principio de votación2oo3 se aplica mejor con una separación física completa entre los microprocesadores. Entretanto, requiere que esas funciones se ubiquen en tres módulos distintos. Aunque los sistemas mas recientes tengan un nivel mayor de diagnósticos, sistemas de seguridad basados en votación 2oo3 aun mantienen la desventaja de tener una probabilidad de fallo en la demanda, que es alrededor de tres veces mayor que la de los sistemas basados en 1oo2.
Ejemplos de Arquitecturas
.jpg)
Figura 1 – SIF – SIL 1
.jpg)
Figura 2 – SIF – SIL 2
Figura 3 – SIF – SIL 3
Figura 4 – SIF – SIL 3 – Votación 2oo3
Ejemplo de Aplicación
Figura 5 - Proceso con lazo básico de control
La figura 5 muestra un proceso simple donde un fluido es adicionado de manera continuada y automática a un recipiente de proceso. Si el sistema de control fallar por una condición de presión muy alta, ocurre un alivio de seguridad, produciendo un olor desagradable fuera de la planta. La tasa de riesgo aceptable para tal evento es 0.01/año o menos (una vez en cien años o 1 chance en 100 por año). Vamos especificar un Sistema Integrado de Seguridad (SIS) que alcance estos requisitos de seguridad.
Para se definir los requisitos de integridad de seguridad, debe estimarse la tasa de demanda en relación al SIS. En este ejemplo, la tasa de demanda debe ser la tasa de fallo peligroso del circuito de control.
La tasa de fallo general para el circuito de control puede estimarse a partir de las tasas de fallos para los componentes, en cuyo ejemplo asumiremos:
| Fallos / Añoa | |
| Transmisor de presiónn | 0.6 |
| Controlador | 0.3 |
| I/P | 0.5 |
| Válvula de control | 0.2 |
| Total de fallos | 1.6 |
El lazo de control del ejemplo puede fallar en cualquier dirección, asumiéndose que las dos son igualmente probables. Como el lazo de control activo está bajo supervisión del operador, se supone que solo un fallo en 4 sería repentinamente suficiente para causar una demanda de condición de parada sin la previa intervención del operador. Esto genera el resultado general de (1 en 2) X (1 en 4) o 1/8 de la tasa general de fallos, que se debe usar como tasa de demanda para una parada. Distintas suposiciones deben hacerse con base en el conocimiento específico del equipo y de las condiciones.
Por lo tanto, la tasa de demanda = 1.6/8 = 0.2/ano
La indisponibilidad aceptable =
Tasa de Riesgo = 0,01 = 0,05
Tasa de Demanda 0,2
La indisponibilidad requerida es = 1-0.05 = 0.95
Se propone un SIS con conexión simple y directa para cortar la alimentación cuando la presión del sistema alcanzar 80% de valor de ajuste de la válvula de seguridad.
La conformidad es evaluada por la estimativa de indisponibilidad del lazo. En seguida, ejemplos de tasas de fallos, que podrían ser confirmadas por cada fabricante:
El lazo es proyectado para fallar en la dirección segura, admitiéndose que solamente 1 en 3 fallos seria en la dirección non segura. Todos estos fallos del sistema pasivo no serian diagnosticados.
Por lo tanto, la tasa de fallos no diagnosticados = 0.6/3 = 0.2/año.
En pruebas realizadas anualmente, FDT = ½ fT = ½ x 0.2/año x 1 año = 0.1
Esto proporciona la disponibilidad de 0.9, que todavía no satisface los requisitos de seguridad. Entretanto, la disponibilidad puede ser aumentada con un frecuencia mayor de pruebas. Con testes mensuales tenemos.
FDT = ½ x 0.2/año x (1/12) año = 0.0083
Alcanzando una disponibilidad > 0.99. La frecuencia de prueba debe hacer parte de la documentación del proyecto.
Según la tabla 1, un sistema SIL 1 con pruebas frecuentes debe proveer una disponibilidad de 0.99 para satisfacer a la necesidad de 95% necesaria.
.jpg)
Tabla 1 – Arquitectura según el nivel SIL – IEC 61508
Algunos detalles
Existe una concepción errada muy común de que los productos por si mismos o los componentes se clasifican como SIL. Productos y componentes son aplicables con relación a SIL, pero ellos no constituyen SIL separadamente. Nivels SIL se aplican a las funciones de seguridad SIF. El equipo o sistema sirven como parte del proyecto de reducción de riesgo, aunque un equipo certificado para uso en aplicaciones SIL 2 o 3 no garantiza, necesariamente, que el sistema satisfará a SIL 2 o 3. Débese analizar todos los componentes de la SIF.
Un importante parámetro de desempeño calculado durante la verificación de SIL es el MTTFsp: Tiempo Medio entre fallos debido a perturbaciones o falsos trips. Esta variable indica cuantas veces el SIL podrá sufrir un falso trip hasta llegar a la condición de shutdown. La tabla 2 muestra la estimativa del costo por falso trips en industrias de distintos procesos:
.jpg)
Tabla 2 – Costos por Falsos Trips.
Conclusión
En términos prácticos lo que se busca es la reducción de fallos y consecuentemente de paradas y riesgos operacionales. Se busca el aumento de la disponibilidad operacional y también en términos de procesos, la minimización de la variabilidad con consecuencia directa en el aumento de la rentabilidad.
Referencias
- IEC 61508 – Functional safety of electrical/electronic/programmable electronic safety-related systems.
- IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements", 2003-01
- William M. Goble, Harry Cheddie, "Safety Instrumented Systems Verification: Practical Probabilistic Calculation"
- http://www.exida.com/images/uploads/CCPS_LA_2010_SIS_EsparzaHochleitner.pdf
- ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de intertravamento de segurança, 2003.
- Sistemas Instrumentados de Seguridad - César Cassiolato
- “Confiabilidad en Sistemas de Medida y Sistemas Instrumentados de Seguridad” - César Cassiolato
- Sistemas Instrumentados de Seguridad – una vista práctica – Parte 4, César Cassiolato
Soluciones confiables
