Comunicación entre el BPCS y el SIS

La comunicación entre el BPCS y el SIS puede aumentar el conjunto de la seguridad de la aplicación. Pero hay que tener en cuenta que comunicaciones externas que puedan escribir sobre el SIS pueden comprometer la integridad de la seguridad y hay que asegurarse que esos valores sean válidos. Por esta razón hay muchas compañías que en sus estándares no permiten la escritura sobre el SIS. Los estándares de seguridad no prohíben esta comunicación y la posibilidad de escribir en el SIS.

Es positivo tener la información del SIS en nuestras pantallas del DCS, información como estado y lecturas de las I/O, bypass, alarmas, etc. Normalmente esto se hace con una comunicación serie desde el SIS al DCS. Actualmente todos los sistemas de seguridad permiten la comunicación serie.

Normalmente las plantas tienen sistemas de diferentes suministradores para seguridad y para control, por lo que han de utilizar un protocolo común de comunicación, el más utilizado es el protocolo MODBUS. El problema de este protocolo es que lee registros de memoria con valores y no las etiquetas (tags) de referencia. El utilizar MODBUS requiere tener una documentación de los registros de memoria actualizada, ya que un cambio en la base de datos del SIS puede variar todos los valores de los registros que estamos leyendo.

En general diremos que.

• No habrá comunicación externa del BPCS al SIS. La comunicación será unidireccional del SIS al BPCS, permitiéndose solo el paso de información del BPCS al SIS en peticiones tipo “request”, es decir en modo petición si y solo si la función de seguridad me lo permite.

• Se permitirá la comunicación cableada entre componentes comunes del BPCS y SIS.

168

7.5.10 Fuentes de energía

Las fuentes de energía más comunes en sistemas de control y en sistemas de seguridad principalmente son la energía eléctrica y neumática (aire de instrumentación). La conexión a tierra también se incluye en este apartado.

7.5.10.1 Fuentes de energía eléctrica

La fuente de energía eléctrica debe ser diseñada para cumplir con las necesidades del SIS tal y como se determina en la especificaciones de los requerimientos de seguridad. La redundancia en las fuentes de energía eléctrica es una práctica común para mejorar la fiabilidad del sistema SIS, aunque en muchos casos no es necesaria para lograr el índice SIL requerido en los sistemas de seguridad “fail safe” que desenergizan para el paro. Para sistemas que energizan para el paro sí que suele ser necesaria la aplicación de redundancia para conseguir los requerimientos de seguridad fijados.

Existen diferentes métodos para proveer redundancia de fuentes eléctricas, todas ellas con sus pros y contras para cada aplicación. Probablemente el más utilizado sean los sistemas UPS (Uninterruptible Power Supply), aunque existen otros como la utilización de un backup de baterías o la utilización de una línea eléctrica alternativa que automáticamente pasa a suministrar energía en caso de caída de la primera línea. En todos los casos la conmutación a una fuente de energía eléctrica en caso de caída de tensión debe cumplir unos requerimientos mínimos:

• Detección de fallos previo a afectar al SIS.

• Transferencia a la fuente secundaría sin afectar a la operación del SIS.

• Capacidad de mantener las baterías o el sistema UPS sin afectar al SIS.

• Minimizar fallos de causa común.

Adicionalmente las unidades de energía deben contar con indicadores del estado en que se encuentran las baterías o el estado de operación del sistema UPS, así como de un sistema de alarmas y diagnósticos que nos indiquen entre otras cosas el estado de operación del sistema redundante y que evite poner en funcionamiento el sistema SIS sin todas las fuentes de energía disponibles.

Los PLC’s incluyen fuentes de alimentación que reducen y estabilizan el voltaje del suministro eléctrico, en estos casos ha de considerarse la redundancia en el suministro de energía para cumplir con los requerimientos de fiabilidad de la aplicación SIS. Los sistemas electrónicos son sensibles al ruido eléctrico por lo que un buen blindaje, unas buenas prácticas en el cableado y una conexión apropiada a tierra, garantizará el buen funcionamiento.

Las entradas y salidas del PLC deben tener distribución separadas de energía para minimizar el fallo de causa común en caso de fallo en el cableado.

Los puntos a considerar en el suministro de corriente alterna son:

• Rango de voltaje y corriente, incluyendo sobrecorriente transitoria.

• Rango de frecuencia nominal.

• Armónicos.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

169

• Tiempo de transferencia.

• Protección por sobrecarga y cortocircuito.

• Protección contra descargas atmosféricas.

• Protección contra transitorios como ruidos y picos de tensión. 7.5.10.2 Conexión a tierra

Es preciso una adecuada conexión a tierra para el correcto funcionamiento y protección de la instalación, sobre todo para equipos electrónicos como los PLC’s. La conexión a tierra es uno de los puntos más críticos en sistemas electrónicos, más que para los equipos eléctricos (motores, etc.).

La conexión a tierra debe seguir las recomendaciones del fabricante, cualquier variación debe ser considerada y analizada, ya que no todos los sistemas con la misma tierra se comportaran de la misma forma.

Los puntos a considerar en la conexión a tierra son:

• Protección por corrosión.

• Protección catódica.

• Protección contra descargas atmosféricas.

• Protección contra electricidad estática.

• Pruebas de conexión a tierra.

• Barreras de seguridad intrínseca de conexión a tierra.

• Fiabilidad de los terminales de conexión a tierra. 7.5.10.3 Fuentes de energía neumática

La fuente de energía neumática más utilizada es el aire de instrumentación (aire seco y filtrado), aunque bien pueden utilizarse otros gases como nitrógeno. Principalmente se usa para válvulas de control, válvulas todo/nada y en diferentes tipos de analizadores. El aire de instrumentación debe ser filtrado, secado y continuamente monitoreado para asegurar que mantenga una presión apropiada. De la misma manera que las fuentes de energía eléctrica deben de disponer de un sistema redundante que asegure el suministro y haga cumplir los requerimientos de confiabilidad.

Debe existir un sistema de alarmas que nos indique que se detecta una baja/alta presión que podría o bien parar el proceso o bien dañar equipos que se alimentan de este aire. Asimismo debe haber señalización que nos indique que ha entrado el equipo de reserva.

Los puntos a considerar para el suministro de aire de instrumentación son:

• Presión de trabajo.

• Humedad permitida. Punto de rocío.

• Tamaño de partícula aceptable.

170

7.5.11 Interfaces

Aunque existen varios modos de interfaces en Sistemas Instrumentados de Seguridad, los principales interfaces se encuentran como Interfaz Hombre-Máquina (HMI) e interfaces de comunicación. Podemos distinguir dos tipos de interfaces hombre-máquina:

• Interfaces de operador.

• Interfaces de mantenimiento/ingeniería. 7.5.11.1 Interfaces de operador

Las interfaces con el operador sirven para comunicar información al operador como una acción de paro a tomar, diagnósticos del sistema, diagnósticos del sensor, diagnósticos del elemento final, estado de la lógica, pérdida de energía que afecte a la seguridad, bypass actuales, etc. Existen múltiples equipos que pueden ser utilizados como interfaces de operador: alarmas, botoneras, luces pilotos, paneles informativos, sistemas SCADA, etc. Sin embargo es muy importante que la operación del sistema instrumentado de seguridad no dependa de la interfaz, ya que puede no estar siempre disponible o en funcionamiento

Para cada mensaje1 _{que se quiera mostrar al operador es una buena práctica contestar}

a las siguientes preguntas qua han de quedar reflejadas en la especificación de requisitos de cada ítem a mostrar:

1. ¿Qué eventos son la causa de visualizar este mensaje?

2. ¿El mensaje mostrado puede y debe ser actualizado, y si es así bajo qué criterio (p. ej. tiempo, acciones tomadas, etc.)?

3. ¿Qué acciones causarán la desaparición del mensaje?

El no realizar un análisis claro de las situaciones que el operador debe conocer del sistema pueden resultar en unas especificaciones incompletas y por tanto una fuente de riesgo.

Es importante dar sólo aquella información que es relevante a los operadores, y no sobrecargarlos de alarmas y mensajes hasta el punto de que no sean capaces de reaccionar ante una de ellas. La asociación EMMUA2 _{en 1999 emitió la publicación 191 sobre la}

gestión de sistemas de alarmas mundialmente aceptada y desarrollada por los usuarios de los sistemas de alarma en la industria. Un buen diseño del sistema, un buen entrenamiento de los operadores y una buena gerencia de las alarmas hará que se reduzca considerablemente el riesgo de tomar una acción equivocada ante un evento o el pasar por alto un evento que está sucediendo por estar en un estado de sobrecarga de mensajes.

1 _{Como mensaje entendemos, alarmas, eventos, alertas, situaciones, información que se quiere dar al}

operador del estado del Sistema Instrumentado de Seguridad.

2 _{EEMUA (The Engineering and Equipment Materials Users’ Association – Asociación de Usuarios}

de Materiales y Equipos de Ingeniería) emitió la publicación 191 sobre la gestión de sistemas de alarmas. La OSHA (Occupational Safety and Health Administration – La Administración de Seguridad y Salud Ocupacional de los Estados Unidos) ha emitido ciertos requerimientos para los sistemas de alarmas en el estándar CFR 29 regulación 1910.119, Gestión de Seguridad de Procesos con Materiales Químicos Altamente Peligrosos.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

171

La interfaz con el operador es importante, pero no debe ser crítica para el correcto funcionamiento del sistema. Desde la interfaz del operador no debe ser posible modificar el sistema de seguridad. Si por diseño se requiere el uso de acciones del operador, el diseño incluirá sistemas de seguridad de protección contra errores del operador.

Cualquier acción tomada por el operador deberá ser confirmada.

Acciones típicas que el operador puede hacer son los bypass de señales para realizar mantenimiento. Estas acciones estarán protegidas con contraseñas para evitar ser realizadas por personal no autorizado. Normalmente este tipo de acciones son realizadas por el personal de mantenimiento de instrumentación que es quien suele realizar las pruebas de seguridad de los lazos de seguridad en el periodo marcado en las especificaciones de los requerimientos de seguridad.

La información que debería ser monitoreada y a la que debe tener acceso el operador es la que permite saber el estado en que se encuentra el sistema instrumentado de seguridad y que es crítica para que se mantenga el SIL requerido. Esta información debe incluir:

• La secuencia del proceso.

• Indicación de activación de la función de seguridad del SIS.

• Indicación de las funciones de seguridad bypaseadas.

• Indicación automática de degradación del voto de una función.

• El estado de los sensores y elementos finales de control.

• La pérdida de energía cuando esta afecta a la seguridad.

• Fallos de equipos que son necesarios para el correcto funcionamiento del SIS.

• Los resultados de los diagnósticos.

• Históricos de alarmas y secuencia de eventos (suele venir como software de servicios del PLC de seguridad y se recomienda que sea utilizado por personal autorizado y de mantenimiento).

Las interfaces de operador típicas para comunicar información entre el sistema de seguridad y el operador son:

• Paneles de control que contienen lámparas, botoneras, indicadores e interruptores.

• Monitores de visualización.

• Alarmas sonoras y visibles.

• Impresoras.

• El propio BPCS como interfaz, si esta comunicado con el SIS.

Los monitores de visualización pueden compartir señales de alarma del sistema de control y del sistema de seguridad teniendo en cuenta que los datos visualizados deben ser actualizados y refrescados en el tiempo requerido y especificado, y deben estar claramente identificados para evitar la confusión al operador de una situación de emergencia indicada por el SIS o por alarmas del sistema de control (BPCS).

Los mensajes y alarmas deben ser claros y concisos y deben tener una jerarquía para diferenciar aquellos que son críticos “critical” de los no críticas como los de alerta “warning” o las que avisan de alguna mal función del equipo “advisory”, se diferencian

172

por su sonido y su color normalmente y serán visibles en modo intermitente hasta que se reconozcan y una vez reconocidos y hasta que se solucione el problema en modo continuo (recomendación EEMUA publicación 191 “Alarm Management”).

7.5.11.2 Interfaces de ingeniería y mantenimiento

La interfaz de ingeniería y mantenimiento permite realizar el mantenimiento adecuado del SIS y modificaciones de ingeniería que se soliciten y aprueben, de una manera clara y sencilla.

El interfaz de ingeniería y mantenimiento se diseñará de forma que asegure que cualquier fallo de esta interfaz no afecte negativamente la capacidad de acción del sistema de seguridad. Estas interfaces son los medios para programar, probar y mantener el SIS. Se tratan de dispositivos que se usan para las funciones siguientes:

• Configuración hardware del sistema.

• Desarrollo del software de aplicaciones, documentación, y descargas al PLC de seguridad del software del sistema de seguridad.

• Acceso al software de aplicación para cambios, pruebas y monitoreo (bypass de equipos, calibración de equipos, etc.).

• Visualización de los recursos del sistema de seguridad y de los diagnósticos.

• Cambio de los niveles de seguridad del sistema de seguridad y acceso a las variables del software de aplicación.

• Ejecución de bypass para realización de mantenimiento.

Solo personal autorizado será quien haga uso de las interfaces de ingeniería y mantenimiento y nunca será utilizado como una interfaz de operación.

7.5.11.3 Interfaz de comunicación

El interfaz de comunicación es un conjunto de líneas hardware que permiten la transferencia de datos entre diferentes componentes de un sistema o entre sistemas. El protocolo de comunicación estándar más utilizado para este tipo de aplicaciones es el protocolo de comunicación MODBUS.

El diseño interfaz de comunicación con el SIS debe asegurar que ante cualquier fallo en la comunicación no afectará a la disponibilidad del SIS.

El SIS debe ser capaz de comunicar con el BPCS y otros sistemas (control de compresores (CCC control), sistemas de monitoreo y protección de máquinas rotativas (p. ej. Bently Nevada System), etc.) sin que afecten al funcionamiento correcto del SIS.

La interfaz de comunicación debe ser suficientemente robusta contra las interferencias electromagnéticas, incluyendo las sobrecargas de tensión sin causar un fallo peligroso de la SIF, asimismo debe ser adecuado para la comunicación de dispositivos con diferentes referencias de tensiones de tierra.

Bibliografía y referencias:

[1] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3, IEC (International Electrotechnical Comission). 2003.

[2] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie. 2nd Edition. ISA 2006.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

173

[3] Artículo: “Gestión de Alarmas: Un punto clave en la planificación de la seguridad”, Ignacio Queirolo, Repsol YPF. Publicado en la revista Petrotecnia (feb 2011). (www.petrotecnia.com).

[4] The Alarm Management Handbook 2nd Edition. Hill Hollifield and Eddie Habibi, published by PAS, (2010).

7.5.12 Mantenimiento y pruebas funcionales

Las pruebas funcionales han de realizarse con el fin de verificar la correcta operación del sistema instrumentado de seguridad y asegurar que el SIL meta objetivo se sigue cumpliendo. Las pruebas funcionales del lazo de seguridad deben ser vistas como una actividad de mantenimiento preventivo con el fin de detectar posibles fallos en el correcto funcionamiento del sistema de seguridad y que no se han detectado por diagnósticos en operación normal.

Según la norma ANSI/ISA-84.00.01-2004 y la norma IEC 61511 parte 1, el diseño del sistema de seguridad debe permitir la realización de pruebas de los lazos de seguridad y componentes del SIS ya sea en lazo completo, desde la conexión del sensor al proceso hasta la conexión del actuador final (sensores, SPLC’s, elementos finales y alarmas asociadas) o bien por partes o segmentos diferenciados. Cuando el intervalo de tiempo entre inactividad del proceso programado, es decir el tiempo entre paradas programadas, sea mayor que el intervalo de tiempo entre pruebas especificado para alcanzar el SIL requerido, se requerirá incluir en el diseño procedimientos y utilidades de pruebas y tests en línea, con la planta en funcionamiento.

El diseño e ingeniería del SIS debe realizarse de acuerdo a los requisitos de mantenimiento y pruebas definidos en las especificaciones de los requisitos de seguridad. Recordemos que el intervalo de prueba de las funciones de seguridad es un punto importante a la hora de alcanzar un SIL meta propuesto.

Preguntas importantes que se suelen realizar son: 1. ¿Cómo se realizará el test del sistema?

2. ¿Qué partes de la función de seguridad se bypaseará y si se realizará la prueba manualmente?

3. ¿Existe algún método de prueba automática que pueda implementarse en el sistema?

Una buena práctica en el diseño de SIS es tomar como referencia un intervalo de test anual (el periodo máximo de test no debe exceder los cinco años), este es el periodo comúnmente más utilizado, y es el intervalo que se marca como estándar a la hora de escoger una arquitectura que cumpla con el SIL meta especificado.

Debe existir cierta racionalidad entre los requerimientos que se piden y cómo será la instalación final. Puede darse el caso que la instalación final tenga dispositivos de difícil acceso, o bien que el diseñador especifique poner un dispositivo en válvulas que realicen la pruebe de recorrido parcial (PST). En el primer caso, el personal de mantenimiento no puede realizar adecuadamente las pruebas y en el segundo, el personal de operación puede estar preocupado de posibles paros molestos que pueda ocasionar la carrera parcial. Por lo que es recomendable incluir técnicos de mantenimiento y operación durante la revisión del diseño del sistema que puedan aportar soluciones a problemas potenciales de diseño.

Es muy importante involucrar y concienciar al personal de mantenimiento y operación de la importancia de estas pruebas periódicas, ya que en muchas ocasiones no es

174

extraño encontrar sistemas de seguridad que nunca han sido chequeados y cuando estos son probados se encuentran fallos peligrosos que conducen a la inactividad de la función de seguridad para la que fue diseñada, sobre todo en elementos de campo.

Figura 7.5.12.1 Porcentaje de fallos de los elementos principales de un sistema de seguridad. Fuente: Offshore Reliability Database (OREDA)

Para ello es preciso establecer un sistema de mantenimiento que incluya procedimientos escritos de pruebas claros y ejecutables, sobre todo cuando la planta está en marcha, y personal bien estrenado con un buen conocimiento de los equipos, proceso y sistema que sea capaz de coordinar y ejecutar las pruebas eficazmente con el fin de asegurar la integridad del sistema de seguridad y evitar realizar paros no deseados e innecesarios que pueden producir pérdidas de producción y crear situaciones de riesgo.

No todos los componentes de un lazo de seguridad pueden ser testeados en funcionamiento, por ejemplo compresores, bombas e incluso algunas válvulas, por lo que estos equipos deben ser diseñados con la característica fail-safe, con diagnósticos y redundancia para que solo requieran una frecuencia de test igual al periodo de funcionamiento entre paradas por mantenimiento de planta, en relación al elemento final. Para probar el resto de elementos del lazo, sensores y la lógica de actuación de la función de seguridad, se ha de proponer una serie de bypass que aseguren el funcionamiento del elemento final.

La utilización de bypass cuando estos sean necesarios se realizaran de manera que el operador en todo momento sepa que algún elemento del sistema de seguridad esta bypaseado, normalmente vía alarma en el sistema de control o por procedimientos. El bypass está limitado a un periodo de tiempo, normalmente 8 horas (un turno), pasado este

In document hazop sil (página 167-184)