Ingeniería y diseño del SIS

En este apartado se cubrirá el diseño conceptual y el diseño detallado del SIS. Todo diseño conceptual propuesto debe ser analizado para ver si alcanza los requerimientos funcionales y de integridad (SIL meta objetivo deseado). Se trata de realizar la verificación del SIL de las funciones instrumentadas aceptadas o propuestas en el diseño conceptual. El diseño de detalle partirá de la base del diseño conceptual y documentará la fabricación real del sistema. Una vez se ha elegido el diseño se debe realizar la ingeniería y la construcción siguiendo todos los procedimientos de diseño. Todo el proceso requiere de una documentación completa para que pueda ser entendible y auditable por un ente independiente a fin de verificar el sistema.

El diseño conceptual y de detalle del SIS será tratado de una manera más explícita en el capítulo 7.5 Ingeniería y diseño del SIS. Como el diseño conceptual y el diseño de

70

detalle muchas veces no quedan bien definido donde está la frontera entre ambos las compañías en sus estándares suelen referirse a ingeniería y diseño del SIS. De hecho es como se refiere en la norma IEC61511 en el ciclo de vida (Cláusulas 11 y 12) (figura 7.1.1 Ciclo de vida de Seguridad SIS según IEC 61511. Capítulo 7.1 Ciclo de Vida de Seguridad).

7.1.9.1 Diseño conceptual del SIS

Una vez se tiene en mano las especificaciones de requerimientos de seguridad obtenidas en la fase de Análisis, la primera tarea que hemos de realizar es la selección de la tecnología a utilizar por el sistema instrumentado de seguridad y la arquitectura que utilizaremos para lograr los requerimientos de seguridad y operación del SIS. Esto incluye el procesador lógico, con sus unidades de entrada y salida, sensores y elementos finales de campo. La gerencia, deberá dirigir el diseño conceptual al mismo tiempo que planifica como puede ser probado y verificado el sistema para asegurar que logra las especificaciones antes de poner el sistema en un uso activo. Un punto clave de esta tarea esta en desarrollar un mantenimiento y planificación de un intervalo de prueba de funcionamiento (proof test) para asegurar que se puede encontrar y reparar cualquier fallo potencial no detectado en el equipo de seguridad antes de que el sistema requiera su actuación. La forma de realizar la prueba funcional o test y la frecuencia debe ser cuidadosamente estudiada ya que afecta al valor SIL del sistema (capítulo 7.5.12 Mantenimiento y pruebas funcionales).

En todo momento hemos de obtener información de confiabilidad y seguridad cuando seleccionamos tecnología y arquitectura del sistema.

7.1.9.2 Diseño de detalle del SIS

El propósito de esta etapa es finalizar y documentar el diseño conceptual. Una vez que se ha elegido el diseño, el sistema debe ser construido siguiendo procedimientos estrictos y buenas prácticas de ingeniería, para evitar errores en el diseño e implantación. En esta etapa el diseño debe ser programado y probado (pruebas FAT1_{) de acuerdo a la}

lógica determinada, cualquier error cometido durante esta etapa influirá en el resto del diseño.

Una vez que se completa la ingeniería de detalle es aconsejable efectuar un estudio FMEA (Análisis de Causas y efectos de Fallos) para verificar que todas las causas posibles de fallos han sido consideradas, además hay que verificar que el diseño final es capaz de realizar las tareas asignadas. El objetivo del FMEA es verificar el comportamiento e integridad del SIS ante fallos causados por fallos encubiertos, como así también reconocer la respuesta del SIS a fallos descubiertos.

7.1.10 Verificación del SIL

Una vez que se ha desarrollado el diseño conceptual del SIS, se ha seleccionado la arquitectura del sistema y sus componentes, debe calcularse nuevamente el SIL que obtiene la función instrumentada de seguridad en base a la velocidad de fallo de los componentes (PFDavg, RRF, MTTFspurious) y al intervalo de test (proof test) definido. De

1 _{FAT (Factory Acceptance Test). Pruebas funcionales de la programación del SIS antes de su}

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

71

esta forma nos aseguramos que el diseño conceptual cumplirá con el SIL objetivo y por tanto con la especificación de requerimientos de seguridad.

El diseño conceptual del SIS y la verificación del SIL objetivo establece los parámetros para el diseño de detalle del sistema, es un punto clave en el cronograma de obra del proyecto que requiere aprobación y por tanto un paso o etapa de revisión1 _{antes de}

continuar con nuevas fases (ver Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida. Capítulo 6.2,2).

Si la verificación de la función instrumentada de seguridad muestra que el SIL requerido no se ha logrado mediante el diseño propuesto, hay que rediseñar alguna o todas las partes que componen el SIF. Existen varias opciones como:

• Disminuir el requerimiento del SIL mediante la adición de otras capas independientes de protección.

• Reducir el intervalo de pruebas periódicas, lo cual puede implicar la necesidad de pruebas en línea y pruebas parciales.

• Escoger equipos con mejores características de seguridad. Menor tasa de fallos, mejores diagnósticos, etc.

• Cambiar la arquitectura añadiendo redundancia.

La verificación del SIL será tratado de una manera más explícita en el capítulo 7.6 Verificación del Nivel Integrado de Seguridad (SIL).

7.1.11 Pruebas de Aceptación de Fábrica (FAT)

En esta etapa el sistema de control de seguridad y toda la lógica de control debe ser completamente probado antes de ser enviado por el proveedor a la planta final. Todos los individuos involucrados en la implementación y verificación del sistema bajo prueba deben participar en la pruebas FAT. Estas pruebas son completadas en el lugar de fabricación previo al envío al usuario final.

Las pruebas FAT son tratadas de una manera más explícita en el capítulo 7.7 Pruebas de Aceptación de Fábrica (FAT).

7.1.12 Instalación y Comisionado

En esta etapa, se debe asegurar que el sistema sea instalado de acuerdo al diseño y se opere de acuerdo a la especificación de los requisitos de seguridad. Antes de que el sistema sea llevado a su emplazamiento debe ser probado hasta su correcta operación, una vez emplazado se debe verificar que el sistema esté de acuerdo al diseño detallado incluyendo los dispositivos de campo. Esto es, entre otras, determinar que el equipamiento, dispositivos y cableado están correctamente instalados y en funcionamiento, que las fuentes de energía redundantes son correctas y están en funcionamiento, que todos los instrumentos están debidamente calibrados (los que lo requieran), y que todos los lazos están probados y son operativos.

Asimismo deben llevarse a cabo las pruebas de pre-arranque y aceptación del sistema (PSAT). Se debe elaborar un procedimiento que dicte los pasos a seguir para la instalación detallada de cada función. La norma IEC 61511 después de la instalación recomienda

72

realizar una verificación y validación del sistema instalado, documentada en la etapa 3, ya que esta fase de proyecto es un punto clave y requiere aprobación (ver Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida. Capítulo 6.2,2).

Como el SIS es un sistema que funciona bajo demanda, las fallas latentes que en un sistema de control continuo son rápidamente detectadas, no son fácilmente descubiertas, por lo que continuas inspecciones durante la instalación son recomendadas para detectar problemas en forma temprana, y evitar así errores una vez este el sistema en operación.

Instalación y comisionado son tratados de manera más explícita en el capítulo 7.8 Instalación y Comisionado.

7.1.13 Fase “Operación” del Ciclo de Vida de Seguridad SIS

La fase de operación es la fase más larga del SCL, empieza con el arranque de la planta y continúa hasta que se desmantela, decomisiona o se reorganiza. La parte más significativa de esta fase es el mantenimiento y el test de los equipos y lazos del sistema instrumentado de seguridad, ya que la filosofía de test afecta al logro del índice SIL meta. Un eficaz régimen de test y mantenimiento empieza con un buen procedimiento y con una documentación sólida que permita mostrar que el plan de pruebas está siendo seguido. También es importante una eficaz MOC (gerencia del cambio) que sea capaz de dirigir eficazmente cualquier modificación del sistema de seguridad que se demande durante el ciclo de vida.

El ciclo de vida finaliza con el decomisionado. Antes de parar el equipo, la compañía, organización debe analizar los efectos del decomisionado de los equipos y procesos bajo control.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

73

7.1.14 Operación y Mantenimiento

En cualquier momento del ciclo de vida, previo a la puesta en marcha del sistema, se deben redactar y establecer los procedimientos de Operación y Mantenimiento del SIS que han de ser aprobados y operativos antes de la puesta en marcha.

La ingeniería de detalle del sistema debe incluir la planificación de las tareas de mantenimiento y test del sistema durante toda su vida útil. Las pruebas de test son muy importantes ya que su realización periódica permite detectar fallos latentes en el SIS. Es importante realizar un buen estudio del mantenimiento a realizar ya que cualquier tarea de mantenimiento que demande ser realizada con el sistema parado significa un costo importante por pérdida de producción. Ninguna planta puede funcionar con su sistema de seguridad fuera de línea. Si el mantenimiento se hace en línea debe planificarse adecuadamente para evitar que durante ese tiempo la seguridad este limitada o disminuida.

Como podemos ver en el Ciclo de Vida basado en la norma IEC 61511 (figura 7.1.3. Capítulo 7.1) los procedimientos de operación y mantenimiento del SIS deben estar listos antes de la prueba preliminar y revisión final de seguridad y aceptación del sistema en planta (Paso 4. Pre Start Safety Review), etapa 3 (revisión de seguridad recomendada por IEC 61511) (ver Tabla 6.2.2.1: Implementación de las actividades de valoración y revisión durante el ciclo de vida. Capítulo 6.2,2).

Estos procedimientos son importantes para mantener la integridad y seguridad del SIS. Deben incluir detalles de cómo operar y mantener el SIS, procedimientos alternativos de operación del SIS en una condición de disminución de seguridad, procedimientos de bypass y reset1_{, procedimientos operativos en condiciones normales y de emergencia,}

procedimientos de mantenimiento en condiciones normales incluyendo pruebas de test, mantenimiento preventivo, repuestos y procedimientos para la administración de cambios. Todo personal de ingeniería, operación y mantenimiento debe estar entrenado para utilizar dichos procedimientos.

La revisión de seguridad previa a la puesta en servicio (Paso 4 del ciclo de vida (PSSR-Pre Start Safety Review), tabla 6.2.2.1) incluye:

• Verificación de que el SIS ha sido construido, instalado y probado de acuerdo con la especificación de requerimientos de seguridad.

• Procedimientos pertinentes al SIS para seguridad, operación, mantenimiento. Administración de cambios y emergencia están terminados y son adecuados para la función.

• Verifica que las recomendaciones del análisis de peligrosidad y riesgos del proceso han sido aplicadas al SIS.

• El entrenamiento de los operadores ha sido completado e incluye información adecuada sobre el SIS.

Esta revisión es un estudio funcional del SIS y una inspección completa del SIS con el fin de demostrar que cumple con los requerimientos de la especificación de diseño y asegurar así su integridad y por tanto validar el sistema instrumentado de seguridad.

Toda esta tarea debe estar perfectamente documentada, aprobada, archivada y perfectamente trazable para referencia futura.

74

Una vez terminada la validación del sistema puede ser puesto en operación. Si el SIS un día opera por una demanda verdadera o falsa, debe efectuarse un análisis para determinar la causa y si el SIS ha operado según lo previsto.

El personal de operativa y mantenimiento de planta han de conocer y entender cómo opera el SIS para evitar que se tomen acciones que puedan resultar comprometidas para el proceso y para el SIS.

Operación y mantenimiento son tratados de manera más explícita en el capítulo 7.9 Operación y Mantenimiento.

7.1.15 Modificaciones del SIS

Los cambios en las condiciones del proceso, ampliaciones de planta, etc. que van surgiendo son susceptibles de introducir cambios en el sistema de seguridad. Todos los cambios requieren un retorno a la fase del ciclo de vida de seguridad adecuada. Por lo tanto requeriremos de una actualización del sistema de acuerdo a la necesidad.

Se debe determinar cuáles son los test que se llevaran a cabo para certificar que no se ha comprometido la integridad del SIS. Irá dirigido por la gerencia del cambio, MOC (Management Of Change).

En el apartado 7.10 Modificación del SISse ampliará la información.

7.1.16 Desmantelamiento del SIS

El desmantelamiento del SIS, ya sea por cese de la producción, cambios del proceso o cambio del propio SIS debe seguir un proceso de revisión para garantizar que el decomisionado del SIS no impacta al proceso o unidades circundantes y que existen los medios necesarios para proteger al personal, equipos y medio ambiente durante el desarrollo del desmantelamiento. Esto significará el desarrollo de un procedimiento y de la obtención de aprobaciones por escrito de las personas responsables.

Es muy importante poner énfasis en el seguimiento al pie de la letra del ciclo de vida de seguridad y deben de respetarse los procedimientos para la gerencia del cambio para asegurar la integridad de seguridad del SIS, ya que si bien se pone mucho énfasis en el diseño del SIS hay que recordar que este puede estar en operación un largo periodo de tiempo, más de 20 años, y durante este periodo se realizan multitud de cambios.

Bibliografía y referencias:

[1] Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.

[2] IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3, IEC (International Electrotechnical Comission). 2003.

[3] ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries, The Instrumentation, Systems, and Automation Society, 2004.

[4] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie. 2nd Edition. ISA 2006.

[5] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor: Oswaldo E. Moreno, CFSE.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

75