Especificaciones de los requerimientos de seguridad (SRS)

Una vez se ha determinado que es necesario instalar un sistema instrumentado de seguridad (SIS) y se ha establecido el nivel de integridad de seguridad (SIL) para cada función instrumentada de seguridad (SIF) el paso siguiente será desarrollar lo que se entiende como las especificaciones de los requerimientos de seguridad. Las SRS constituye la guía para definir los requerimientos de diseño de acuerdo a las normas utilizadas y a los estándares de cada compañía, por lo que ha de ser lo más completa posible.

Es muy importante desarrollar está etapa con mucha rigurosidad ya que como se comentó en el capítulo 7 un estudio de HSE británica concluyó que 34 accidentes en diferentes industrias ocurrieron por fallos en el sistema de control y seguridad. Los resultados del estudio, mostrados en la figura 7.4.1 indican que las principales causas de los accidentes fueron errores en las especificaciones del sistema (44%), incluyendo una mala valoración de los SIL’s.

Figura 7.4.1 Causas más comunes de accidentes debido a los SIS

IEC 61511 define las SRS como las especificaciones que contienen todos los requerimientos de las funciones instrumentadas de seguridad en un sistema instrumentado de seguridad.

El objetivo de esta fase del ciclo de vida (SRS) consiste en especificar y documentar todos los requerimientos para todas las funciones de seguridad que ha de realizar el SIS para el desarrollo de su ingeniería de detalle y para la seguridad funcional del proceso.

114

Se trata de una etapa crítica, cualquier error, falta de datos u omisión en las especificaciones resultará en una función de seguridad que no será capaz de realizar su cometido en la forma prevista, con lo que la seguridad se verá afectada. Por tanto, las SRS deben ser desarrolladas y revisadas por un equipo con experiencia en proceso, equipos, operación y mantenimiento del proceso que se trata. La documentación de las SRS será posteriormente utilizada para la verificación y validación del SIS.

Las SRS, como hemos indicado es un documento clave para la implementación y pruebas del proyecto, así como para la correcta operación del sistema y su mantenimiento (figura 7.4.2). Es el enlace entre todo el estudio teórico/práctico de análisis para poder crear una base firme y estructurada para poder ejecutar el proyecto. Siempre son elaboradas una vez seleccionado el SIL objetivo. Como hemos visto el 44% de los fallos del sistema de seguridad instrumentado ante un incidente se debe a una mala especificación de los requerimientos de seguridad, que pueden ser debido a:

− No realización correcta del Análisis de Riesgos y Peligros del proceso, lo que implica una base de entrada para las SRS incorrecta (mala identificación de las SIF, selección incorrecta del SIL).

− No se identifican modos de fallo y requerimientos de protección (acciones de la SIF no logra un estado seguro, lentitud en la identificación y prevención del peligro).

− No se definen todos los modos de operación del proceso (arranque, paro, etc.). − No se identifican todas las condiciones ambientales y de proceso.

− Control de las SRS inadecuado.

− Requerimientos contradictorios o incompletos.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

115

Para desarrollar las especificaciones de los requerimientos de seguridad se requiere información como datos de diseño del proceso, análisis de riesgo del proceso (PHA), lista de las funciones instrumentadas de seguridad (SIF) y su SIL objetivo, diagramas de instrumentación y proceso (P&ID’s), diagramas eléctricos, etc.

Los resultados de las SRS cubrirán las especificaciones de los requerimientos de seguridad generales del SIS, tanto los relativos a la confiabilidad del sistema de seguridad (requerimientos de integridad) como los relativos a que ha de hacer el sistema de seguridad (requerimientos funcionales).

7.4.1 Especificaciones funcionales

Los requerimientos funcionales deben describir la lógica del sistema, es decir, que debe hacer y características de cada función instrumentada de seguridad. La especificación funcional debe incluir la definición de parámetros como:

− Rango de operación normal de las variables del proceso y sus límites máximo y mínimo.

− El estado seguro del proceso, para cada uno de los eventos identificados. − Las entradas de proceso al SIS y sus acciones.

− Las salidas de proceso del SIS y sus acciones.

− Interfaces e interacciones con otros sistemas (incluyendo el sistema de control básico de proceso, DCS, y operadores).

− Punto de referencia (Set Point) de las variables del proceso y su tolerancia. − La relación funcional entre la detección y actuación de los elementos finales

(entradas y salidas del proceso), incluyendo la lógica, las funciones matemáticas y cualquier otro permisivo que se requiera mediante las representaciones de diagramas lógicos y diagramas causa-efecto.

− Selección de los modos de energizar o desenergizar para disparo1_{. Generalmente}

las aplicaciones SIS se encuentran normalmente en el modo energizado y son desenergizadas para disparo. Cuando el proceso específico requiera que alguna aplicación SIS sea normalmente energizada para disparo deberá fundamentarse y demostrarse.

− Consideraciones para disparo manual.

− Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS. − La Respuesta de acción a cualquier fallo detectado.

− Requerimientos de la interface humano-máquina.

− Funciones de restablecimiento del SIS después de un paro (reset).

− Los tiempos de respuesta y las tolerancias permisibles de las funciones y de los componentes relevantes.

116

− Si la función de seguridad es aplicable a sistemas instrumentados de seguridad operando en modos de operación de baja demanda (no mayor a una demanda por año y una frecuencia de prueba no mayor a 2 veces por año), o de alta demanda/ continua (mayor a una demanda por año y una frecuencia de prueba mayor a dos veces por año).

− Los modos de operación relevantes del equipo bajo control, lo cual debe incluir: arranque automático y manual, semiautomático, estado estacionario, estado estacionario de no operación, restablecimiento, paro, mantenimiento, y la identificación de las funciones instrumentadas de seguridad requeridas para operar dentro de cada modo.

− La importancia de las interacciones de los componentes físicos del sistema (hardware)/programas de cómputo (software), e identificar y documentar cualquier restricción para dichas interacciones.

− Cualquier requerimiento específico referente a los procedimientos de arranque y restablecimiento del SIS.

7.4.2 Especificaciones de integridad

Los requerimientos de integridad, nivel de confiabilidad del sistema y de cada función instrumentada de seguridad del SIS definirán la capacidad con que cada función de seguridad es capaz de realizar su trabajo. Servirán para establecer una arquitectura aceptable del sistema para lograr el nivel de desempeño, seguridad e integridad requerida para que el SIS ejecute las funciones necesarias. Definen la capacidad de cómo de bien cada función de seguridad actuará. Los requerimientos de integridad de seguridad deben incluir una definición de los siguientes parámetros de integridad:

− La tasa de demanda objetivo, SIL requerido, para cada una de las funciones de seguridad.

− Una descripción de todas las funciones instrumentadas de seguridad para lograr la seguridad funcional requerida y el SIL para cada una de ellas.

− El factor de reducción de riesgo (RRF) para cada función de seguridad. − Requerimientos de diagnóstico para lograr el SIL requerido.

− Requerimientos de mantenimiento y prueba para lograr el SIL requerido (intervalo mínimo de prueba “proof test”).

− Requerimientos de confiabilidad en caso de presentarse disparos en falso (máxima tasa de disparo en falso permisible).

− Detallar todos los modos requeridos de comportamiento del SIS, particularmente ante fallos y la respuesta requerida (por ejemplo, alarmas, paro automático, etc.,).

− Las condiciones ambientales extremas probables a ocurrir durante todo el ciclo de vida de seguridad del SIS. Se deben considerar como mínimo las siguientes variables: temperatura, humedad, contaminantes, interferencia

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

117

electromagnética1_{, interferencia de frecuencia}2_{, vibración, descarga}

electrostática, inundación, clasificación eléctrica de áreas.

− Los límites de inmunidad electromagnética requeridos para lograr compatibilidad electromagnética, los cuáles deben ser fijados considerando tanto el ambiente electromagnético como los niveles de integridad de seguridad requeridos.

− La iniciación manual de funciones protectoras sustituye en muchos casos a la iniciación automática, por esta razón es importante en funciones iniciadas manualmente considerar la confiabilidad humana, ya que la integridad de los componentes físicos (hardware) de la iniciación manual no debe ser menor a aquélla de la iniciación automática.

De acuerdo con la norma IEC 61511, el SIL requerido de cada función instrumentada de seguridad en modo demanda será especificado de acuerdo con la tabla 7.4.2. Las funciones de seguridad en modo continuo de operación raramente son usadas en procesos industriales, aunque también la norma IEC 61511 especifica el SIL requerido (Ver capítulo 5.50 Modo de operación).

SIL Clase de Riesgo3 _PFD

avg RRF Disponibilidad

4

No usado. No se puede mitigar sólo

vía SIS

10-4 -> 10-5 10000 -> 100000 0.9999 -> 0.99999

3 B 10-3 -> 10-4 1000 -> 10000 0.999 -> 0.9999 2 C 10-2 -> 10-3 100 -> 1000 0.99 -> 0.999 1 No precisa SIS 10-1 -> 10-2 10 -> 100 0.9 -> 0.99

Tabla 7.4.2 Índice SIL: Probabilidad de fallo en demanda

La probabilidad de fallo en demanda de cada SIF debido a fallos en el hardware depende de varios factores:

• La arquitectura del SIS y cualquier elemento relacionado con las funciones de seguridad a considerar.

• El ratio estimado de fallos peligrosos de cada subsistema, debidos a fallos aleatorios de hardware que causarían un fallo peligroso del SIS, pero que son detectados por tests de diagnósticos.

• El ratio estimado de fallo de cada subsistema debido a fallos aleatorios de hardware que causarían un fallo peligroso del SIS, y que no son detectados por tests de diagnósticos.

1 _{La interferencia electromagnética se refiere al fenómeno electromagnético no deseado que afecta las señales}

eléctricas a una banda menor que la radiofrecuencia. Es una forma de ruido eléctrico que surge generalmente de motores, transformadores, conductores de energía y de prácticas de cableado inapropiadas.

2 _{La interferencia por radiofrecuencia surge de señales en falso en el rango de radiofrecuencia (generalmente}

de 0.5 a 500 MHz), puede generarse de manera local por sistemas de ignición, dispositivos de comunicación de dos vías, equipo de soldadura, dispositivos de control, computadoras, entre otros.

3 _{Clase de Riesgo determinado usando la matriz de riesgo ejemplo propia de la organización (figura}

118

• La susceptibilidad del SIS a fallos de causa común.

• Factor de cobertura de diagnóstico (fracción de fallos detectados) de cualquier test automático de diagnósticos, los intervalos de test y la fiabilidad de ellos.

• Los intervalos de prueba de funcionalidad de seguridad “proof test” (test de funcionamiento de equipos).

• El tiempo de reparación de los fallos detectados (MTTR).

• Posibles fallos peligrosos de comunicación con el proceso.

• Posibles fallos peligrosos por causas humanas (p. ej. la respuesta a alarmas relativas a seguridad).

• Susceptibilidad a las EMC (interferencias electromagnéticas).

• Susceptibilidad a las condiciones climáticas y mecánicas, stress de los componentes, fallos de causa común.

Es importante resaltar que los Sistema Instrumentados de Seguridad, que se ajustan a unas estructuras estándar que más adelante mencionaremos como Típicos, no requieren calcular la probabilidad de fallo ya que el cálculo y su asignación de nivel SIL se ha realizado y abordado en conjunto. Es decir existen empresas u organizaciones con suficientes recursos que disponen de expertos en seguridad que establecen sus propios estándares y guías donde se proponen arquitecturas completas a utilizar con los instrumentos estándares que la propia compañía autoriza. Cada arquitectura lleva asociado el nivel SIL que se alcanza. Con ello se pretende estandarizar y facilitar la ingeniería de seguridad dentro de estas compañías multinacionales.

El diseño ha de cumplir el SIL objetivo y se ha de verificar que alcanza el nivel SIL antes de ser implementado. Que la implementación del sistema de seguridad cumpla con el diseño establecido y cumpla con las especificaciones requeridas será verificado durante el