hazop sil

Texto completo

(1)Sistemas Instrumentados de Seguridad. TITULACIÓ: Enginyeria en Automàtica i Electrònica Industrial. AUTORS: Xavier Galindo Díez. DIRECTORS: Alfonso Romero.. DATA: juny / 2012.. 1.

(2) Índice. Sistemas Instrumentados de Seguridad. Índice 1. INTRODUCCIÓN. 8. 2. ALCANCE. 13. 3. NORMATIVA Y ESTÁNDARES. 15. 3.1. IEC 61508, IEC 61511. 16. 3.2. ANSI/ISA-S84.01-1996. 20. 4. ABREVIACIONES. 23. 5. CONCEPTOS Y DEFINICIONES. 25. 5.1 ¿Qué es el Riesgo? 5.1.1 Riesgo Inherente 5.1.2 Riesgo Tolerable 5.1.3 Riesgo Individual. Principio ALARP 5.1.4 Riesgo geográfico 5.1.5 Riesgo en la sociedad 5.1.6 Factor de Reducción de Riesgo (RRF). 25 25 26 27 29 29 29. 5.2. Índice SIL. Nivel Íntegro de Seguridad. 31. 5.3. SIF. Función Instrumentada de Seguridad. 32. 5.4. Auditoria de seguridad funcional (Functional safety audit). 33. 5.5. Árbol de fallos.. 34. 5.6. Avería (Failure).. 34. 5.7. BPCS. Sistema Básico de Control de Proceso.. 34. 5.8. Capas de protección.. 34. 5.9. Ciclo de vida de seguridad (CVS). Safety LifeCicle (SLC). 34. 5.10. Comisionamiento. 34. 5.11. Comunicación externa. 35. 5.12. Comunicación interna. 35. 5.13. Confiabilidad (Reliability). 35. 5.14. Daño. 35. 5.15. Peligro (Hazard). 35. 5.16. Demanda. 35. 2.

(3) Índice. Sistemas Instrumentados de Seguridad. 5.17. Desenergizado/Energizado para disparo.. 35. 5.18. Desmantelamiento. 35. 5.19. Cobertura de diagnóstico (DC). 36. 5.20. Disparos en falso. 36. 5.21. Disponibilidad de seguridad. 36. 5.22. Dispositivos. 36. 5.23. Diversidad. 36. 5.24. Elemento final de control. 36. 5.25. Estado seguro. 37. 5.26. Error. 37. 5.27. Error humano. 37. 5.28. Especificaciones de los requisitos de seguridad (SRS). (Safety Requirement Specifications) 37. 5.29. Factor de Reducción de Riesgo (RRF). (Risk reduction Factor). 37. 5.30. Fallo. 37. 5.31. Fallo activo. 37. 5.32. Fallo aleatorio. 37. 5.33. Fallo dependiente. 37. 5.34. Fallo pasivo. 38. 5.35. Fallo peligroso. 38. 5.36. Fallo sistemático. 38. 5.37. Fallo seguro. 38. 5.38. Fallo de causa común. 38. 5.39. Fallo de modo común. 39. 5.40. Función lógica (Logic function). 39. 5.41. Instalaciones externas de reducción de riesgo. 39. 5.42. Interfaz Mantenimineto/Ingenieria (Maintenance/engineering interface). 39. 5.43. Lenguajes Software en subsistemas SIS. (Software languages in SIS subsystems). 39. 5.44. Tipos de software. 40. 5.45. Manual de seguridad. (Safety Manual). 40. 3.

(4) Índice. Sistemas Instrumentados de Seguridad. 5.46. Mitigación (Mitigation). 40. 5.47. MooN system (Sistema MooN). 40. 5.48. MOC, Management of change. 40. 5.49. Modo de operación (Mode of operation). 41. 5.50. MTTF. 42. 5.51. MTTR. 42. 5.52. MTBF. 42. 5.53. Nivel Íntegro de Seguridad (SIL). (Safety Integrity Level). 42. 5.54. Operator interface. Interface Operador. 43. 5.55. Proven in use. 43. 5.56. Probabilidad de fallo en demanda (PFD). 43. 5.57. Redundancia (Redundancy). 43. 5.58. Resolvedor Lógico. (Logic Solver). 43. 5.59. Riesgo del proceso (Risk Process). 43. 5.60. Seguridad Funcional (Functional Safety). 43. 5.61. Sensor.. 44. 5.62. Sistema Instrumentado de Seguridad (SIS). (Safety Instrumented System). 44. 5.63. Tasa de demanda. 44. 5.64. Tasa de fallos (λ). 44. 5.65. Test de ensayos (Proof Test). 45. 5.66. Tolerancia a fallos. 45. 5.67. Valoración, evaluación de la seguridad funcional (Functional safety assessment). 45. 5.68. Validación.. 45. 5.69. Verificación.. 46. 6. GERENCIA DE SEGURIDAD FUNCIONAL. 47. 6.1 Requisitos generales 6.1.1 Recursos y Organización 6.1.2 Evaluación y gestión del riesgo 6.1.3 Planificación de seguridad y responsabilidades E&I durante el Ciclo de vida 6.1.4 Implementación y seguimiento. 47 47 48 49 51. 6.2 Evaluación, Auditorias y Revisiones 6.2.1 Evaluación de la seguridad funcional. 51 51. 4.

(5) Índice. Sistemas Instrumentados de Seguridad. 6.2.2 6.2.3. 7. Evaluación y Revisión de las actividades durante el ciclo de vida Auditorias y revisión. SISTEMA INSTRUMENTADO DE SEGURIDAD. 52 54. 55. 7.1 Ciclo de Vida de Seguridad 7.1.1 Fase “Análisis” del Ciclo de Vida de Seguridad SIS 7.1.2 Diseño Conceptual del Proceso 7.1.3 Análisis de Peligros y Riesgos del Proceso 7.1.4 Aplicación de capas no-SIS 7.1.5 Criterios para determinar la necesidad de un SIS 7.1.6 Selección del SIL objetivo 7.1.7 Especificaciones de Requerimientos de Seguridad, SRS 7.1.8 Fase “Implementación” del Ciclo de Vida de Seguridad SIS 7.1.9 Ingeniería y diseño del SIS 7.1.9.1 Diseño conceptual del SIS 7.1.9.2 Diseño de detalle del SIS 7.1.10 Verificación del SIL 7.1.11 Pruebas de Aceptación de Fábrica (FAT) 7.1.12 Instalación y Comisionado 7.1.13 Fase “Operación” del Ciclo de Vida de Seguridad SIS 7.1.14 Operación y Mantenimiento 7.1.15 Modificaciones del SIS 7.1.16 Desmantelamiento del SIS. 59 64 65 65 66 66 67 68 68 69 70 70 70 71 71 72 73 74 74. 7.2 Métodos de Identificación y Análisis de Riesgos de Procesos (PHA’s) 7.2.1 Marco legislativo 7.2.2 Técnicas de Identificación de Riesgos y Análisis de Peligros 7.2.3 Metodología HAZOP 7.2.3.1 Procedimiento. 7.2.3.2 Puntos fuertes y débiles de la metodología HAZOP 7.2.3.3 Desarrollo del estudio HAZOP 7.2.4 Revisión de la seguridad. 75 75 78 81 83 84 85 93. 7.3 Asignación del SIL objetivo 7.3.1 Métodos cualitativos 7.3.2 Métodos cuantitativos 7.3.3 Revisión de la seguridad. 94 94 106 112. 7.4 Especificaciones de los requerimientos de seguridad (SRS) 7.4.1 Especificaciones funcionales 7.4.2 Especificaciones de integridad 7.4.3 Especificaciones de sobrevivencia 7.4.4 Documentación SRS 7.4.5 Ejemplo de Requerimientos básicos de seguridad. 113 115 116 118 118 120. 7.5 Ingeniería y Diseño del SIS. 124 7.5.1 Independencia entre los componentes del SIS y del BPCS 125 7.5.2 Identificación y etiquetado de las Funciones Instrumentadas de Seguridad y Sistemas Instrumentados de Seguridad 126 7.5.3 Sensores de campo 127 7.5.3.1 Transmisores inteligentes 130 7.5.3.2 Diagnósticos de sensores 130 7.5.4 Elementos finales de control 131 7.5.4.1 Diagnósticos de válvulas 133 7.5.4.2 Posicionadores inteligentes en válvulas 133 7.5.4.3 Test de recorrido parcial (PST – Partial Stroke Test) 134 7.5.5 Tecnología de control. Selección 139 7.5.6 PLC de seguridad 143. 5.

(6) Índice. Sistemas Instrumentados de Seguridad. 7.5.6.1 Software de Aplicación 7.5.6.2 Documentación 7.5.6.3 Operación, mantenimiento y modificación 7.5.7 Selección de equipos. Equipos Certificados o uso previo 7.5.8 Tolerancia a Fallos Hardware (HFT). Selección de Arquitectura. 7.5.8.1 HFT según norma IEC 61511 y IEC 61508 7.5.9 Comunicación entre el BPCS y el SIS 7.5.10 Fuentes de energía 7.5.10.1 Fuentes de energía eléctrica 7.5.10.2 Conexión a tierra 7.5.10.3 Fuentes de energía neumática 7.5.11 Interfaces 7.5.11.1 Interfaces de operador 7.5.11.2 Interfaces de ingeniería y mantenimiento 7.5.11.3 Interfaz de comunicación 7.5.12 Mantenimiento y pruebas funcionales 7.5.12.1 Como establecer la frecuencia del test 7.5.12.2 Documentación 7.5.13 Cableado de los elementos de campo 7.5.14 Consideraciones ambientales 7.5.15 Fallos de causa común 7.5.16 Fallos sistemáticos 7.5.17 Revisión de seguridad de diseño e ingeniería. 144 145 146 147 149 161 167 168 168 169 169 170 170 172 172 173 176 177 177 178 179 182 183. 7.6 Verificación del SIL de una SIF. 7.6.1 Introducción 7.6.2 Procedimiento 7.6.3 Cálculo PFDavg y MTTFspurious. Modelo Ecuaciones Simplificadas. 7.6.3.1 Cálculo PFDavg 7.6.3.2 Cálculo MTTFspurious 7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas 7.6.3.4 Ejemplo de cálculo utilizando el modelo de ecuaciones simplificadas 7.6.4 Observaciones. Uso de guías propias estandarizadas 7.6.4.1 Arquitecturas típicas 7.6.4.2 Desviación de las arquitecturas típicas 7.6.4.3 Cálculo PFDavg. 184 184 186 188 188 195 200 201 207 211 212 215. 7.7. 218. Pruebas de aceptación de fábrica (FAT, Factory Acceptance Test). 7.8 Instalación y Comisionado 7.8.1 PSAT (Pre-Start Acceptance Test). 219 222. 7.9 Operación y Mantenimiento 7.9.1 Procedimientos de operación y mantenimiento 7.9.2 PSSR (Pre-Startup Safety Review) 7.9.3 Pruebas funcionales del SIS (Proof Testing) 7.9.3.1 Metodología de test 7.9.3.2 Documentación. 225 225 228 229 230 231. 7.10 Modificación del SIS durante operación 7.10.1 Cuando es necesario aplicar la gestión de modificaciones (MOC) 7.10.2 Requerimientos de los procedimientos MOC 7.10.3 Documentación 7.10.4 Decomisionado. 231 232 233 234 235. 8. ANEXOS. 236. 8.1. ANEXO A: Vista general del ciclo de vida (IEC 61511). 6. 236.

(7) Índice. Sistemas Instrumentados de Seguridad. 8.2. ANEXO B: Ejemplo HAZOP Sistema Antorcha.. 238. 8.3. ANEXO C: Respuestas a las Recomendaciones. 240. 8.4. ANEXO D: Asignación SIL a una SIF: Matriz de Riesgo. 241. 8.5. ANEXO E: P&ID. 242. 8.6. ANEXO F: CEM, Matriz Causa Efecto. 243. 8.7. ANEXO G: SRS; Especificaciones para las Funciones Instrumentadas de Seguridad (SIF) 244 8.7.1 SRS: SIF Nº 1: 244 8.7.2 SRS: SIF Nº 2: 244. 8.8 ANEXO H: Cálculo SIL; Verificación 8.8.1 SIF Nº 1: 8.8.2 SIF Nº 2:. 245 245 248. 8.9. ANEXO I: Hojas Técnicas. 252. 8.10. ANEXO J: Lazos de Control. 253. 8.11. ANEXO K: Diagramas Lógicos. 254. 8.12. ANEXO M: Sinópticos BPCS. 255. 8.13. ANEXO N: Pruebas de Lazo de Seguridad. 256. 8.14. ANEXO O: Hojas PSSR; (Pre Start Safety Review). 257. 8.15. ANEXO P: Protección de la información: Sistema Instrumentado de Seguridad. 258. 7.

(8) Introducción. 1. Sistemas Instrumentados de Seguridad. Introducción. La seguridad en las plantas es la mayor preocupación en la industria de procesos “Safety first 1”. Plantas químicas, petroquímicas, de refino del petróleo, etc., necesitan implementar soluciones para resolver este problema. Como veremos más adelante un sistema instrumentado de seguridad (SIS), también referido como sistema de paro de emergencia (ESD 2) se instala en un proceso industrial para prevenir situaciones de riesgo por descontrol del proceso que puede llevar a una situación de peligro, reduciendo el riesgo que puede llegar a ser peligroso a un riesgo tolerable, reduciendo la frecuencia de incidentes y accidentes no deseados, parando el proceso antes de que se produzca el posible accidente. Por tanto, el propósito final del SIS es llevar el proceso y/o equipos específicos del proceso a un estado seguro mediante instrumentación y control. La cantidad de reducción de riesgo que el SIS debe proporcionar viene representada por su nivel de integridad de seguridad (SIL), que se define como un rango de probabilidad de fallo en demanda. Por otro lado, también existe la posibilidad de que algún elemento del sistema de seguridad falle y nos lleve el proceso a un estado seguro sin que se haya producido ningún evento peligroso, es lo que se conoce como paros en falso (spurious trips), estos también han de ser considerados a la hora de aplicar un sistema de seguridad. Por esta razón se ha de asegurar en el diseño de un sistema instrumentado de seguridad que cumpla con dos premisas claves, seguridad y disponibilidad en el proceso. Las instalaciones industriales almacenan, procesan, y generan sustancias peligrosas, que tienen asociado un determinado nivel de riesgo dependiendo de la posibilidad que exista de provocar consecuencias adversas sobre receptores vulnerables (personas, bienes materiales y medio ambiente) como resultado de efectos no deseados (térmicos, físicos y químicos) originados por sucesos incontrolados en sus instalaciones. Un sistema instrumentado de seguridad percibe una desviación de las condiciones normales de proceso que pueden llevar a un peligro para la integridad de las personas, medio ambiente y la propia instalación y es entonces cuando toma la acción para llevar el proceso a un estado seguro, previniendo un accidente no deseado. Estos riesgos potenciales exigen que las plantas adopten estrictos criterios de diseño en las instalaciones y equipos y en la necesidad de implantar medidas de seguridad. Estas medidas de seguridad se traducen en múltiples capas de protección (figura 1.1) de las instalaciones.. 1. Eslogan de muchas empresas “primero seguridad”. 2. Emergency ShutDown. 8.

(9) Introducción. Sistemas Instrumentados de Seguridad. Figura 1.1 Capas de protección Cada capa de protección está compuesta de equipos y/o procedimientos de control que actúan conjuntamente con otras capas de protección para controlar y/o mitigar los riesgos de los procesos. La reducción global del riesgo resulta de la adopción de las medidas de las distintas capas de protección y en última instancia debe resultar un riesgo remanente tolerable (figura 1.2).. Figura 1.2 Reducción del riesgo. Las capas de protección de los procesos se dividen en: •. Aquellas capas destinadas a prevenir el accidente, como son el sistema de control, las alarmas críticas (monitorización del proceso), las actuaciones por parte del operador y los Sistemas Instrumentados de Seguridad (SIS).. •. Aquellas capas destinadas a mitigar el incidente/accidente, como pueden ser los sistemas Fuego y Gas (sistema de detección, alarma y extinción de incendios o 9.

(10) Introducción. Sistemas Instrumentados de Seguridad. nubes de gas), sistemas de alivio, de protección física, la respuesta de la planta ante emergencia (plan de emergencia interior, PEI) o la respuesta de la población ante emergencia (plan de emergencia exterior, PEE). Las medidas de seguridad o capas de protección a adoptar en las instalaciones se derivarán de la elaboración de un Análisis de Riesgos. Existen un gran número de técnicas de identificación de riesgos, como bases de datos de accidentes, HAZOP (análisis de peligros y operabilidad), análisis what if?, FCMEA (análisis de fallo, efectos y consecuencias), análisis mediante árboles fallo (FTA) y árboles de suceso (ET), etc. La técnica de identificación seleccionada dependerá de los propósitos perseguidos con la identificación de riesgos, así como de los datos y recursos disponibles. La implementación de un Sistema Instrumentado de Seguridad (ver figura 1.3) deriva de la aplicación de un análisis de riesgos. En particular la metodología HAZOP es la más extendida y adaptada en la mayoría de los procesos industriales, que nos dirá la necesidad de aplicar esta capa de seguridad, así como el sistema Fuego y Gas (F&G) que activa medidas de seguridad en caso de incendio o fuga de gas en las instalaciones.. Figura 1.3. Componentes de un Sistema Instrumentado de Seguridad. De esta forma, después de la elaboración de un análisis de riesgos, se decidirá qué valor objetivo SIL (Safety Integrity Level) exigimos, esto permitirá evaluar cual es el nivel de seguridad exigible a los Sistema Instrumentados de Seguridad, así como verificar si estos cumplen los requisitos establecidos en la normativa de aplicación de acuerdo a dicho SIL. Los métodos usados para la selección del SIL se basan en el propio riesgo si un accidente ocurre, una evaluación de las consecuencias y probabilidades de un accidente y una evaluación de la eficacia de todas las protecciones y seguridades relevantes del proceso. Implementar un SIS, y por lo tanto seleccionar un SIL, implicará considerar leyes, regulaciones y estándares nacionales e internacionales. Antes del año 1980 no había normas o estándares de ingeniería para el diseño de sistemas de seguridad. Las principales regulaciones para reducir el riesgo de los procesos se gestaron principalmente después de tres accidentes: 1974- Flixborough 1, Gran Bretaña. Explosión de una nube de vapor de ciclohexano de 50 Tn ventiladas a la atmósfera por la planta química NYPRO que provocó la muerte de 28 personas de la planta, 56 personas fuera de la planta, multitud de heridos, daños en más de 1800 casas y 167 locales comerciales en un radio de 12 km. El coste de los daños superó los 100 millones de dólares. Afortunadamente ocurrió fuera del horario normal de trabajo, por lo que las pérdidas humanas fueron menos de las esperadas.. 1. http://en.wikipedia.org/wiki/Flixborough_disaster. 10.

(11) Introducción. Sistemas Instrumentados de Seguridad. 1976- Seveso 1, Italia. Pérdida a la atmósfera de una nube de TCP cloro y dioxina como consecuencia de la fisura de un disco de rotura producido por una reacción exotérmica incontrolada de 2-4-5-triclorofenol (TCP). Quedaron inservibles más de 4 km a la redonda de tierras cultivables y el número de heridos y muertos por el escape no fue informado, pero más de 470 personas fueron atendidas por intoxicación. Estos dos accidentes dieron origen a una serie de normas y leyes en cuanto a la seguridad de procesos, por parte de los entes reguladores europeos. Una fecha clave para el inicio de la reglamentación de los sistemas de seguridad en Estados Unidos la encontramos en diciembre de 1984, con la explosión y fuga de 24 toneladas de metilisocianato, mientras se realizaban tareas de mantenimiento en una planta química que Unión Carbide poseía en Bhopal (India), donde oficialmente se habló de 2500 muertos, más de 200000 personas con lesiones, un desastre ecológico incalculable y una herencia de problemas para las sucesivas generaciones. Desde esta fecha se empezó a crear normas reglamentarias. Así en Estados Unidos y Europa (Alemania principalmente) empezaron a nacer diferentes organizaciones y normas que proporcionaban directrices para sus sistemas de parada de emergencia. OHSA 2 en Estados Unidos y paralelamente “Seveso Directive” 3 en Europa, fueron las primeras normas de regulación que aparecieron, siendo la Directiva Seveso, creada el 24 de junio de 1982, la primera norma de obligado cumplimiento para los países miembros de la CEE. El 9 de diciembre de 1996 fue sustituida por la Directiva Seveso II, siendo de obligado cumplimiento a partir del 3 de febrero de 1999, finalmente en 2005 se propugnó el RD 119/2005 de 4 de febrero, conocido como SEVESO III. Según Seveso III un accidente grave es cualquier suceso, tal como emisión en forma de fuga o vertido, incendio o explosión importantes que suponga una situación de grave riesgo, inmediato o diferido, para personas, bienes y medio ambiente, bien sea en el interior o exterior de la instalación, y que estén implicadas una o más sustancias peligrosas. La directiva Seveso fue traspuesta al ordenamiento jurídico español mediante el R.D. 1254/1999, por el que se aprueban las medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas, este a su vez es modificado por el R.D. 948/2005. La directriz básica para la elaboración y homologación de los planes especiales del sector químico está recogida en el R.D. 1196/2003, en ella se indica las bases y criterios para la correcta organización de las emergencias derivadas de accidentes, estableciendo los criterios mínimos de contenidos de los planes de emergencia interior (PEI) y exterior (PEE). Una norma de referencia en todo el mundo aunque no de obligado cumplimiento en España al no estar recogida en la legislación española es la normativa de obligado cumplimiento en Estados Unidos y perteneciente a OHSA, 29 CFR 1910.119 “Process safety management of highly hazardous chemicals”.. 1. http://es.wikipedia.org/wiki/Desastre_de_Seveso. 2. OHSA: Occupational Safety and Health Administration, Administración de Seguridad y Salud Ocupacional emitida por el Departamento de Trabajo de los Estados Unidos. 3. Seveso Directive I and II se trata de una recopilación de leyes editada por la Comisión Europea de medio ambiente encaminadas a la prevención y control de accidentes químicos.. 11.

(12) Introducción. Sistemas Instrumentados de Seguridad. ISA -Instrumentation Systems and Automation Society- creó un estándar para la industria en 1996, la ANSI/ISA-S84.00.01-1996 1 ”Application of Safety Instrumented Systems for the process industries” que recopiló y unió todos “Process Management Safety” (PMS) de diferentes organizaciones y compañías para crear un único estándar. Paralelamente en Europa IEC -The International Electrotechnical Commission- creó un documento similar en 1998, la IEC 61508 2 que cubre numerosos tipos de industrias y bajo este estándar se creó la IEC 61511 que es un estándar específico para el sector de proceso. Este estándar fue aceptado por la ISA S84 que sustituyó a la anterior ANSI/ISA-84.00.01, con lo que actualmente la IEC 61511 y la ISA S84 es el mismo estándar, considerándose estándares globales. Ambos estándares IEC 61511/61508 y ANSI/ISA S84 usan el concepto del ciclo de vida de seguridad como herramienta en la gestión de la aplicación de sistemas instrumentados de seguridad. Estos estándares requieren que se establezca un nivel SIL para cada lazo, por lo que requiere de la creación de un sistema de gestión que pueda asegurar la seguridad del proceso. Requiere de un análisis de riesgos para poder establecer los niveles SIL requeridos.. 1. Actualmente se encuentra la actualización ANSI/ISA-S84.00.01-2004.. 2. Actualmente se encuentra la actualización IEC 61511-2003 y la IEC 61508-2000.. 12.

(13) Alcance. 2. Sistemas Instrumentados de Seguridad. Alcance. El proyecto sitúa una guía de referencia para la realización de un Sistema Instrumentado de Seguridad, desde la obtención de las especificaciones de requerimientos de seguridad, la realización de la ingeniería y del diseño, la instalación, y su operación y mantenimiento, de forma que pueda ser confiable para llevar y mantener el proceso en un estado seguro. Todo este trabajo ha sido desarrollado de acuerdo a los estándares vigentes IEC 61511 (Seguridad funcional: SIS para procesos industriales) y la ANSI/ISA S84.012004 (Aplicación de SIS para procesos industriales). En particular se pretende dar un enfoque para el desarrollo de un sistema instrumentado de seguridad destacando la importancia que representa la seguridad en cualquier industria de proceso y en particular en la industria química. La filosofía de las compañías está cambiando, se adoptan lemas como “la Seguridad es lo primero”, “sin seguridad no hay producción”, etc. y crean estándares internos de obligado cumplimiento referentes a seguridad, tanto generales como en particular de proceso. Es muy importante que las empresas y todo personal integrado en el proceso de fabricación, producción, mantenimiento e ingeniería y en particular el personal encargado del control y automatización estén familiarizadas con los estándares de seguridad internacionales, conceptos y buenas prácticas que hacen que sus procesos sean seguros a la vez que confiables y disponibles. En particular se tratarán los siguientes temas: •. Criterio de Ciclo de vida de seguridad. Definición de actividades que son necesarias para determinar requerimientos funcionales y de seguridad para toda la vida del sistema de seguridad.. •. Como detallar los requerimientos y especificaciones para lograr un nivel de seguridad funcional objetivo y quien es el responsable de implementar estos requerimientos.. •. Mostrar que tipo de instrumentos pueden ser integrados en un SIS.. •. Relación entre las funciones instrumentadas de seguridad (SIF) y las funciones de control.. •. Como asignar niveles de integridad de seguridad (SIL) a las diferentes funciones del proceso y como resolver que funciones son las que se convertirán en funciones instrumentadas de seguridad, después de haber reducido el riesgo aplicando otros sistemas de reducción de riesgo. Identificar los requerimientos funcionales y los requerimientos integrados de seguridad para estas funciones instrumentadas de seguridad.. •. Especificación de requerimientos para la arquitectura del sistema y configuración del hardware, aplicación del software e integración del sistema.. •. Implementación de una o más funciones de seguridad para la protección de personas, máquinas y medio ambiente en general cuando no se ha logrado la seguridad funcional del lazo.. 13.

(14) Alcance. Sistemas Instrumentados de Seguridad. •. Aplicación del sistema a una aplicación de no-seguridad como recurso de protección.. •. Como determinar, evaluar y analizar un riesgo y su tasa de riesgo. Definir el índice o tasa SIL (nivel de integridad de seguridad) de cada SIF (función instrumentada de seguridad). Diferentes métodos de análisis de riesgos.. •. Como encontrar una tasa numérica para la probabilidad media de fallo en demanda (PFD) requerida en la IEC 61511 y la relación con el valor SIL de la función.. •. Como especificar requerimientos de todas las unidades que conforman el sistema instrumentado de seguridad, desde el sensor hasta el elemento final, incluyendo el procesador lógico (PLC de seguridad) y las conexiones.. •. Definir qué información y documentación es requerida para la aplicación de un SIS durante el ciclo de vida de seguridad.. •. Como incluir los factores humanos en el diseño del SIS.. 14.

(15) Normativas y Estándares. 3. Sistemas Instrumentados de Seguridad. Normativa y Estándares. En el pasado las normas de seguridad se desarrollaron para aplicaciones concretas, para tipos de industria o incluso para un país específico. Como ejemplo encontramos la ANSI P1.1-1969 es una norma de consenso en la industria emitida por el Instituto Nacional Americano de Estándares (ANSI) que define los requisitos de seguridad para las fábricas que producen papel, pulpa y cartón. El principal problema de este enfoque no global es que en plantas, e incluso industrias completas, se produce el hecho que han de cumplir diferentes normas de seguridad que se solapan, y que a menudo han sido desarrolladas con filosofías de diseño y arquitectura completamente diferentes. A esto hay que sumar las diferencias entre normas nacionales y regionales. Por lo que es prácticamente imposible estar seguro de que se ha cumplido con las normativas vigentes, y se nos plantee la gran pregunta, ¿qué norma cubre y resuelve nuestra expectativa? Ante esta complejidad normativa, las compañías usuarias de sistemas instrumentados de seguridad necesitan definir sus propias normas para facilitar el cumplimiento de los estándares de seguridad aplicables a sus instalaciones. Es por lo que se crean asociaciones como IEC (Comisión Electrotécnica Internacional) que desarrollan normas y estándares para que las empresas usuarias se puedan proveer, dentro de un marco normalizado, de procedimientos y prácticas recomendadas. Así se crea, en el marco de la seguridad funcional de sistemas instrumentados de seguridad en la industria de proceso, la IEC 61511 y para la seguridad funcional de los equipos eléctricos/electrónicos dedicados a seguridad la IEC61508. Una razón por lo que las industrias redactan sus propios estándares, guías y prácticas recomendadas que posteriormente se adoptan y discuten por expertos de los diferentes estándares internacionales para su inclusión, es evitar la creación de regulaciones gubernamentales. Si la industria es la responsable de los accidentes, y estos no se regulan es entonces cuando el gobierno puede intervenir para crear la regulación, con peso de ley. Es mejor que entidades internacionales expertas y asociaciones de industrias creen sus propias regulaciones y estándares dentro del marco legal vigente y que finalmente adquieran categoría de norma, que proceder a una intervención gubernamental. Las normas de seguridad más recientes se han desarrollado usando el criterio de reducción de riesgo y en el establecimiento de un grado definido de excelencia operacional adoptando el concepto de ciclo de vida 1 del proyecto de seguridad. Para industrias de procesos las normas más relevantes son la IEC 61508, IEC 61511 y ANSI/ISA S84 (2004). Cada una de estas normas define qué se requiere para lograr el cumplimiento normativo, y en el caso de la IEC 61511 y ANSI/ISA S84, cómo lograr el cumplimiento por parte de los propietarios y operadores de planta.. 1. El concepto ciclo de vida surge tras la publicación en 1995 por parte del Ejecutivo Británico de Salud y Seguridad (Health and Safety Executive – HSE) de un artículo titulado Fuera de control (Out of control) donde se discute porqué fallan los sistema y cómo hay que prever los fallos. El artículo analiza las causas de varios accidentes industriales que se originaron en fallos de sistemas de control. El resultado de este estudio llevó al desarrollo del concepto “ciclo de vida” de la seguridad funcional y que es definido en diferentes estándares internacionales de seguridad como la ANSI/ISA S84.01, IEC 61508, IEC 61511.. 15.

(16) Normativas y Estándares. Sistemas Instrumentados de Seguridad. Estas normas internacionales se están utilizando como directrices para demostrar que en el desarrollo de los sistemas instrumentados de seguridad se han aplicado las “mejores prácticas de ingeniería”. Si bien estas normas y directrices no tienen fuerza de ley en la mayoría de los países 1, sí que ha aumentado la dependencia de los sistemas SIS, obligando a realizar una metodología que asegure que se alcanza un nivel de riesgo tolerable objetivo, tanto en el proceso de fabricación de los sistemas y equipos participantes en sistemas instrumentados de seguridad, como en el diseño y desarrollo, comisionado y puesta en marcha y mantenimiento del propio sistema de seguridad. Para facilitar y garantizar que las compañías proveedoras y las propietarias del sistema han cumplido y se han adherido a estos estándares, existen organizaciones auditoras y certificadoras independientes, TÜV, FM, Exida y otras, que actúan como terceros y certifican que nuestro sistema cumple estrictamente con la norma.. 3.1. IEC 61508, IEC 61511. La IEC 61508 (partes 1-7), titulada Functional Safety of Programmable Electronic Safety-Related Systems (seguridad funcional de los sistemas electrónicos programables relacionados con la seguridad), es un estándar publicado por IEC “Internacional Electrotechnical Comisión”. Se trata de una norma de seguridad completa, global y funcional basada en rendimiento y que aplica a los fabricantes, proveedores e instaladores de sistemas de seguridad para todas las industrias. Define los requisitos de los equipos de control e instrumentación de proceso. La IEC 61508 establece una base para el uso de dispositivos eléctricos y/o electrónicos programables en el diseño de sistemas instrumentados de seguridad en diferentes aplicaciones, medicina, transporte, etc. y entre ellas la industria de proceso. Establece el concepto de ciclo de vida para el desarrollo de un SIS desde su concepción hasta su desmontaje, y establece que personal debería estar involucrado en las diferentes fases del proyecto desde el concepto hasta la explotación. En resumen la IEC 61508 orienta a los fabricantes y proveedores en el desarrollo y validación de hardware y software para sistemas de seguridad. Es recomendable que los usuarios y propietarios del sistema de seguridad busquen proveedores con productos certificados por agencias reconocidas, que certifiquen el cumplimiento de la IEC61508, p. ej. TÜV, FM o Exida. La IEC 61508 fue usada por algunas plantas de la industria de procesos para implementar sistemas instrumentados de seguridad que cumplieran con los requisitos normativos. Sin embargo, no era una norma clara para adoptar en procesos industriales, por lo que después de una cuidadosa consideración, el comité de normas IEC extrajo las secciones relevantes de IEC 61508, y la volvió a redactar para formar la IEC 61511 específica para industrias de procesos. Como resultado la IEC 61511 proporciona una guía a las industrias de procesos y ejemplos de cómo implementar e interpretar la norma, siempre bajo el marco establecido por la IEC 61508.. 1. Las normativas y prácticas recomendadas pueden tener peso de ley pero sólo cuando son incorporadas por referencia en la ley correspondiente o listada por la Directiva Europea.. 16.

(17) Normativas y Estándares. Sistemas Instrumentados de Seguridad. Este enfoque hizo que la IEC 61511, Functional Safety: Safety Instrumented Systems for the Process Industry Sector (Seguridad funcional: Sistemas instrumentados de seguridad para el sector de las industrias de procesos), sea la norma de seguridad que la mayor parte de las industrias de procesos eligen como estándar para el desarrollo de sus guías internas propias y documentos internos para la implementación de sus Sistema Instrumentados de Seguridad. La IEC 61511 es un estándar publicado por la IEC “International Electrotechnical Comisión” donde se establece una base para el uso de dispositivos eléctricos y/o electrónicos programables en el diseño de Sistemas Instrumentados de Seguridad en la industria de proceso. Establece cuales son los pasos en el ciclo de vida de un SIS desde su concepción hasta su desmantelamiento, y está dirigida fundamentalmente al diseñador, ejecutor y usuario final de los sistemas de seguridad. Por tanto la IEC 61511 aplica a los usuarios finales en la industria de procesos. Está basada en dos conceptos fundamentales: el ciclo de vida de seguridad del SIS y el nivel integro de seguridad, SIL. Tiene 3 partes: •. Parte 1: Requisitos. •. Parte 2: Directrices de aplicación de IEC 61511-parte 1. •. Parte 3: Selección del SIL. Figura 3.1.1 Objetivo de las normas IEC 61508 y IEC61511. La IEC 61511 es una norma que incluye y se basa en el concepto ciclo de vida, esto facilita el uso de otras normas o prácticas basadas en el ciclo de vida. Este modelo de ciclo de vida de seguridad funcional es usado y recomendado por agencias reguladoras y otros organismos como: •. La agencia ISO “Organización Internacional de Normas” para la calidad del producto y servicio.. •. HSE “Oficina Ejecutiva de Salud y Seguridad del Reino Unido” para actividades relacionadas con la seguridad. 17.

(18) Normativas y Estándares. Sistemas Instrumentados de Seguridad. •. SEI “Instituto de Ingeniería de Software” para el diseño de software de alta disponibilidad.. •. OSHA “Administración de Seguridad y Salud Laboral de los EEUU” (29 CFR 1910.119- Process Safety Management of Highly Hazardous Chemicals) para la seguridad de los trabajadores.. •. Etc.. IEC 61511 permite personalizar el modelo de ciclo de vida para ajustarse a sus prácticas habituales, siempre y cuando se cumpla con los requisitos normativos. El enfoque de la IEC 61511 usa 5 etapas principales de ciclo de vida para atender estos requisitos, además de un proceso de verificación y documentación a lo largo de todo el ciclo de vida: Etapa de ciclo de vida. Requisitos de IEC 61511. 1. Ingeniería básica del proyecto y diseño conceptual. •. Evaluación de peligro y riesgo (Cláusula 8). •. Asignación de funciones de seguridad a capas de protección (Cláusula 9). •. Especificación de requisitos de seguridad para sistemas instrumentados de seguridad (Cláusulas 10 y 11). •. Diseño e ingeniería del sistema instrumentado de seguridad (Cláusulas 11 y 12.4). •. Construcción del sistema instrumentado de seguridad, integración y pruebas FAT (Cláusula 13). •. Instalación y comisionamiento del sistema instrumentado de seguridad (Cláusula 14). •. Validación de seguridad del sistema instrumentado de seguridad (Cláusulas 12.3, 12.7 y 15). 4. Provisión de seguridad funcional. •. Operación y mantenimiento del sistema instrumentado de seguridad (Cláusula 16). 5. Modificación y actualización. •. Modificación del sistema instrumentado de seguridad (Cláusula 17). - Verificación y documentación. •. Verificación (Cláusulas 7, 12.4, 12.7). •. Documentación (Cláusula 19). 2. Diseño e ingeniería de detalle. 3. Instalación y puesta en marcha. 18.

(19) Normativas y Estándares. Sistemas Instrumentados de Seguridad. Todas estas actividades permiten cumplir con el requisito central de la norma IEC 61511: Gestión de seguridad funcional. •. Gestión de seguridad funcional y evaluación y auditoria de la seguridad funcional (Cláusula 5). •. Estructura y plan del ciclo de vida de seguridad (Cláusula 6.2). Dependiendo de dónde esté ubicado el SIS, es posible que la conformidad con IEC 61511 o con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir la norma tiene sentido. El resultado de la IEC 61511 es un riguroso conjunto de prácticas recomendadas para diseñar, implementar, verificar, operar y mantener sistemas instrumentados de seguridad robustos y fiables. Es una buena muestra de ayudar a garantizar la seguridad de la planta y por tanto del entorno social, a la vez que puede minimizar costos de operación. El hecho de haber cumplido con la norma, incluso si no es de obligado cumplimiento, puede ser útil en caso de ocurrir algún incidente de seguridad. Las investigaciones posteriores a un accidente o vertido de producto al medio ambiente involucran a agencias gubernamentales que tienen autoridad para abrir una vía de investigación e imponer sanciones si es preciso, incluso sanciones penales y clausura de actividades. Entre las preguntas que pueden hacer están: •. ¿Ha ocurrido alguna clase de incidente o accidente en esta compañía anteriormente?. •. ¿Qué procesos proactivos se utilizaron para identificar los riesgos?. •. ¿Qué métodos se usaron para cuantificar los riesgos?. •. ¿Qué acciones se usaron para mitigar los riesgos?. •. ¿Qué proceso se siguió para garantizar que se desplegara la mitigación adecuadamente?. •. ¿Qué procesos están implementados para garantizar que la solución de mitigación continúe funcionando como se espera?. •. Etc.. Las respuestas a estas clases de preguntas son exactamente lo que nos da la aplicación de la norma IEC 61511. El haber cumplido y seguido la norma IEC 61511 durante todo el ciclo de vida facilitará mucho las investigaciones sobre un hipotético accidente o incidente y dará un punto de vista objetivo de cómo se realizaba la seguridad del proceso. Es muy importante que todas las tareas realizadas durante el ciclo de vida de un sistema de seguridad estén adecuadamente documentadas. La Cláusula 19 recopila los requisitos de información que exige la norma IEC61511 con el fin de asegurar de que se dispone de la documentación necesaria de forma que se puedan realizar las evaluaciones y validaciones que se requieran. 19.

(20) Normativas y Estándares. 3.2. Sistemas Instrumentados de Seguridad. ANSI/ISA-S84.01-1996. ANSI/ISA-S84.01-1996 “Application of Safety Instrumented Systems for the process industries”. Es una norma que ha sido reemplazada por IEC 61508 y IEC 61511 en el 2004 cuando se denominó ANSI/ISA-S84.00.01-2004 (IEC 61511Mod), son normas equivalentes y ambas con tres partes. Se trata de una norma creada en Estados Unidos en 1996 y que recientemente ha sido armonizada con la IEC 61511, con la excepción que las instalaciones que actualmente usan la versión de 1996 de S84 continúen haciéndolo siempre y cuando se determine que el equipo de seguridad se diseñe, se mantenga, se inspeccione, se pruebe y se opere de una manera segura. Es una norma de la ANSI “American Nacional Standards Institute” en la que se establece una base para el diseño de Sistemas Instrumentados de Seguridad en la industria de proceso, incluyendo tecnología eléctrica, electrónica, y electrónica programable. Asimismo establece cuales son los pasos en el ciclo de vida de un SIS desde su concepción hasta su desmontaje. Está dirigida fundamentalmente al personal que participa en el desarrollo y fabricación de los SIS, en la instalación, en el comisionado y en todas las fases del ciclo de vida de un sistema de seguridad. Como se ha comentado en la introducción, hace años y después de un elevado número de accidentes en las industrias, sobre todo del sector químico, los expertos en seguridad comenzaron una profunda revisión de las normas de seguridad existentes, llegando a la conclusión de que estas eran específicas en la industria y no podían relacionarse entre ellas. A partir de estos razonamientos se formó el comité ISA SP84. Seguidamente se optó por usar el modelo Ciclo de Vida basado en rendimiento y como resultado apareció la ANSI/ISA S84.01-1996, Application of Safety Instrumented Systems for the Process Industries (Aplicación de sistemas instrumentados de seguridad para las industrias de procesos).. IEC61508. Figura 3.2.1 Normativas IEC y relación con ISA. 20.

(21) Normativas y Estándares. Sistemas Instrumentados de Seguridad. Figura 3.2.2 Evolución de la normativa. ACLARACIÓN: Las normativas y prácticas recomendadas pueden tener peso de ley pero sólo cuando son incorporadas por referencia en la ley correspondiente o listada por una Directiva Europea. Así existe una jerarquía de las guías para la seguridad en procesos industriales tal que: •. Legislación: Leyes dictadas por las autoridades correspondientes, con carácter local, estatal o nacional.. •. Regulación: Reglas, las cuales tienen peso de ley, a través de la delegación de autoridad. P.ej. OHSA, Seveso Directive.. •. Normativa: Consenso de un grupo de industrias acerca del mínimo nivel de ingeniería aceptable. P.ej. IEC 61511. •. Práctica Recomendada: recomendaciones de un grupo de industrias. P.ej. Buenas prácticas de una compañía química.. Existen muchas otras normas y estándares aplicables a sistemas de seguridad, dependiendo del tipo de industria a que aplique así: NFPA 85: “Boiler and Combustion Systems Hazard Code” 2004. NFPA “National Fire Protection Assocoation” es una asociación internacional fundada en 1896 que tiene como objetivo elaborar normativas, estándares y guías de consenso para la reducción del riesgo de incendios. La norma que más nos afecta en procesos industriales es la NFPA 85 relativa a procurar seguridad en sistemas de combustión y tiene como objetivo la seguridad de operación y prevención de incendios y explosiones en sistema de combustión, calderas con múltiples quemadores. NFPA 85 aplicaría a sistemas BMS “Burner Management Systems”.Existe un gran debate entre las diferencias de un SIS y un BMS, puesto que ambos son sistemas de protección muy similares con la diferencia que un BMS no trabaja con niveles de integridad de la seguridad (SIL). API RP 14C: “Recommended Practice for Design, Installation, and Testing of Basic Surface Safety Systems for Offshore Production Platforms”. Publicada por el API 21.

(22) Normativas y Estándares. Sistemas Instrumentados de Seguridad. “American Petroleum Institute” en 2001. Dirigida a ingenieros de diseño y a personal de operación. Se trata de una serie de prácticas recomendadas para el análisis, diseño, instalación y pruebas de los sistemas básicos de seguridad en plataformas de producción costa afuera. AIChe-CCPS: “Guidelines for Safe Automation of Chemical Process” 1993. El Instituto Americano de Ingenieros Químicos (AIChe) formó el Centro para la Seguridad de Procesos Químicos (CCPS) después del accidente ocurrido en Bhopal, India. Cubre el diseño de los Sistemas de Control Distribuidos (DCS) y Sistemas de Interlock de Seguridad. Contiene información muy valiosa obtenida por los usuarios de los sistemas a lo largo del tiempo. Bibliografía y referencias [1]. EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems. www.emersonprocess.com.. [2]. Curso: Análisis de Riesgos Industriales y Sistemas Instrumentados de Seguridad. Madrid 5 y 6 abril 2006, ISA (The Instrumentation, Systems and Automation Sociecity). Profesorado: Gabriela Reyes y Victoriano Macías (INERCO).. [3]. IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 13, IEC (International Electrotechnical Comission). 2003. [4]. Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie. 2nd Edition. ISA 2006.. [5]. IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems. Parts 1-7, IEC (International Electrotechnical Comission). 1998 .. 22.

(23) Abreviaciones. 4. Sistemas Instrumentados de Seguridad. Abreviaciones ALARP. As Low as Reasonable Practicable. ANSI. American National Standards Institute. BMS. Burner Management System. BPCS. Basic Process Control System (ej. PCS, DCS). CEM. Cause Effect Matrix. CCRC. Competence Center for Responsability Care. CFSE. Certified Functional Safety Expert. DC. Diagnostic Coverage. E/E/PES. Electrical/Electronic/Programmable Electronic System. EMC. Electromagnetic Compatibility. ESD. Emergency ShutDown System. FAT. Factory Acceptance Testing. FM. Factory Mutual. FMEDA. Failure Modes, Effects and Diagnostic Analysis. FMS. Management of Functional safety. FTA. Fault Tree Analysis. F&GS. Fire&Gas System. HAZOP. HAZard and Operability Studies. HMI. Human Machine Interface. IEC. Internacional Electrothecnical Comisión. ISA. Instrumentation, Systems and Automation Society. LOPA. Layer of Protection Analysis. MooN. “M” out of “N”. MTBF. Mean Time Between Failures. MTTF. Mean Time To Fail. PFD. Probability of Failure on Demand. PFDavg. Average Probability of Failure on Demand. PFS. Probability of Failure Spurious. PHA. Process Hazard Analysis. P&ID. Process & Instrumentation Diagram. PSM. Process Safety Management. PST. Partial Stroke Test. RRF. Risk Reduction Factor. Inverso de PFDavg 23.

(24) Abreviaciones. Sistemas Instrumentados de Seguridad. SCL. Safety Life Cicle. SFF. Safe Failure Fraction. SHE. Safety, Health and Environment. SIF. Safety Instrumented Function. SIL. Safety Integrity Level. SIS. Safety Instrumented System. SRS. Safety Requirement Specification. STR. Spurious Trip Rate. TI. Test Interval. TMR. Triple Modular Redundant. TÜV. TechnischerÜberwachungs-Verein. 24.

(25) Conceptos y Definiciones. 5. Sistemas Instrumentados de Seguridad. Conceptos y Definiciones 5.1. ¿Qué es el Riesgo?. Una planta, un proceso químico obviamente conlleva un riesgo, que ha de ser minimizado y controlado. El objetivo de cualquier compañía es conseguir el riesgo cero, aunque es importante reconocer que el riesgo cero no existe. Como definición el riesgo es una medida resultado de la combinación de la probabilidad de que se produzca un evento peligroso y de la consecuencia de dicho evento. El riesgo puede ser evaluado cuantitativamente o cualitativamente. Riesgo = Frecuencia × Con sec uencia. nº muertes/año. año-1. nº de muertes. € perdidos/mes. mes-1. pérdidas económicas (€). kg fuga/hora. hora-1. kg sustancia fugada. etc. Aunque en las normas de seguridad como la IEC 61511, el riesgo se centra en riesgo personal y riesgo para el medio ambiente, la mayoría de compañías extienden las categorías y factores de riesgo e incluyen: •. Seguridad y salud públicas.. •. Interrupciones de producción y problemas de calidad.. •. Costos de responsabilidad civil.. •. Daños a equipos y costos de reparación.. •. Pérdida de imagen de la empresa.. El riesgo puede ser expresado de múltiples formas. Dependerá de 2 factores: •. Quien o que está expuesto al riesgo: empleados, sociedad pública, medio ambiente, equipos y máquinas, etc.. •. Cuál es la consecuencia del riesgo: Fatalidad, daños, daños temporales o permanentes al medio ambiente, pérdidas financieras, etc.. 5.1.1 Riesgo Inherente La mayoría de las instalaciones industriales de procesos tienen bastantes componentes y manejan una cierta cantidad de materiales y sustancias de proceso bajo unas condiciones dadas de temperatura, presión, etc. Algunas de estas sustancias pueden ser peligrosas. El proceso completo tiene asociado un riesgo y es el que se conoce como riesgo inherente.. 25.

(26) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. Por definición el riesgo inherente es el riesgo que existe debido a la naturaleza del proceso, incluyendo el equipo y sustancias presentes. Así la evaluación del proceso ayudará a determinar la probabilidad de que ocurra un evento de riesgo, y la evaluación de las sustancias (tipo y cantidad) ayudará a determinar las consecuencias del riesgo. Por ejemplo en un tanque de amoniaco presurizado podemos ver diferentes riesgos inherentes que pueden llevar a una fuga de amoniaco como la rotura del tanque por un exceso de presión, fugas en uniones de tubería, fugas en las empaquetaduras de válvulas, fallos del sistema de control en mantener la presión del tanque. Cada uno de estos riesgos tiene una probabilidad y las consecuencias dependen de los peligros de exposición del personal al amoniaco. 5.1.2 Riesgo Tolerable Todos sabemos que hay un punto donde el riesgo se vuelve “intolerablemente alto”. Asimismo hay un punto dónde el riesgo se vuelve bastante pequeño y pasa a ser aceptable, el riesgo cero no existe. Entre estos dos puntos está el área del riesgo tolerable. En una planta de procesos existen múltiples y simultáneos riesgos. El propósito de un plan de seguridad, incluido el SIS, es garantizar que el riesgo en todo momento sea tolerable. El riesgo tolerable lo marca el propietario/operador de la planta en cada momento, es una decisión corporativa. Cada uno marca su riesgo tolerable en la vida –por ejemplo detenerse o avanzar por un semáforo que se acaba de poner en amarillo-, por lo que requiere tanto rigor como flexibilidad. Lo que para uno es un riesgo aceptable, para el otro ya es inaceptable. La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en un determinado contexto de acuerdo con los valores actuales de la sociedad, como vemos es una definición muy abierta. La mayoría de las compañías incluyen las lesiones, las muertes y el dinero perdido entre otros factores a considerar. Una buena práctica es comparar incidentes, accidentes e investigaciones con plantas similares y riesgos similares para poder identificar y establecer el límite del riesgo tolerable. También existen fuentes tales como la Administración de Seguridad y Salud Laboral (OSHA) de los Estados Unidos y otras agencias similares en otros países. Es importante, para definir el riesgo tolerable, considerar todas las fuentes relevantes de daños. Podemos encontrar múltiples referencias sobre puntos de riesgo tolerable. Por ejemplo podemos mostrar una referencia del marco para la tolerancia de la HSE (Health and Safety Executive de UK) donde clasifica el riesgo individual para fatalidades como: •. 1 fatalidad por 1000 años de exposición para trabajadores (límite superior de riesgo tolerable).. •. 1 fatalidad por 10000 años de exposición para el público.. •. 1 fatalidad por 100000 años será considerado riesgo insignificante (límite inferior de riesgo tolerable).. Siempre es mejor acercarse al límite inferior donde el riesgo es insignificante. Ahora bien, las compañías pueden marcar otros niveles de riesgo tolerable, por ejemplo determinar que los riesgos potenciales deben tener menos de: 26.

(27) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. •. 0.0005 accidentes fatales por persona por año.. •. 0.005 personas heridas por año.. •. 0.01 emisiones ambientales por planta por año.. •. 500000 € en pérdidas económicas por planta y año.. O bien podemos encontrar formas matriciales con enunciados guía como: todos los riesgos extremos deben ser reducidos y todos los moderados deben ser reducidos cuando sea factible.. Figura 5.1.1.1 Forma matricial valoración del riesgo. ¿Cuál de los diferentes enunciados que podemos encontrar es mejor o peor? Cada compañía marcará su riesgo tolerable aceptable y dependerá de que guías utilice, normalmente se adaptará al principio ALARP ("As Low As Reasonably Practicable"), reducir el riesgo hasta donde sea razonablemente posible. Asimismo si seguimos estándares y volviendo al caso del tanque de amoniaco, podemos usar niveles de exposición humana al amoniaco aceptables localmente. Para los trabajadores en campo la OSHA 1 dice que la máxima exposición es una concentración de 50 ppm en un periodo de 8 horas. Pero si está en una zona habitada la exposición máxima permitida para el público por la ACGIH 2 americana es de 25 ppm. Por lo que en ambos casos el riesgo tolerable es diferente, aunque el evento peligroso sea el mismo la consecuencia es diferente. 5.1.3 Riesgo Individual. Principio ALARP Riesgo individual es la frecuencia a la cual se puede esperar que un individuo reciba un nivel sostenido de daño, derivado de la existencia de peligros determinados. El marco para la tolerancia del riesgo de la HSE 3 Británica (Health and Safety Executive’s) clasifica el riesgo individual para fatalidades, como la probabilidad de fatalidad por año: De minimus (límite inferior de riesgo tolerable) 1 x 10-5 por año. De manifetsus (límite superior de riesgo tolerable) 1 x 10-3 por año El principio ALARP (Tan bajo como sea razonablemente factible) normalmente se sitúa entre estos dos límites (figura 5.1.3.1). El principio ALARP comprende tres regiones que van asociadas a una clase de riesgo: 1 OSHA, Occupational Safety and Health Administration, agencia creada por el departamento de trabajo de EEUU. 2. ACGIH, American Conference of Governmental Industrial Hygienists. Desarrolla, recomienda y publica los límites máximos de exposición a productos químicos peligrosos. 3. HSE, Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades relacionadas con la seguridad.. 27.

(28) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. •. Riesgo Clase I: situada en la región intolerable. En esta zona el riesgo no puede ser justificado.. •. Riesgo Clase II: se sitúa en la región ALARP. En esta zona los riesgos pasan a ser tolerables solo si la reducción de riesgo es impracticable o supone un esfuerzo económico desproporcionado para la reducción de riesgo que se conseguirá con la mejora.. •. Riesgo Clase III: se sitúa en la región ampliamente aceptable. En esta zona el nivel de riesgo es residual y no se requieren adoptar medidas para reducir el riesgo.. Como vemos para aplicar el principio ALARP es imprescindible definir 3 regiones de riesgo relacionadas con la probabilidad y consecuencia de un incidente. La definición de las regiones es discutida y acordada normalmente por las autoridades reguladoras de seguridad, por la compañía que produce el riesgo y por la parte expuesta al riesgo, aunque sigue siendo una decisión corporativa.. Figura 5.1.3.1 Modelo ALARP, As Low As Reasonably Practical.. Las siguiente tabla (tabla 5.1.3.1 Ejemplo clasificación de riesgo de incidentes) extraída de la norma IEC 61511-3 Anexo A muestra como a través de las clases de riesgo puede hacerse una relación de la consecuencia con una probabilidad de ocurrencia. Cada situación específica, cada industria particular debe desarrollar una tabla similar teniendo en cuenta los factores sociales, políticos y económicos, entre otros, dependiendo de dónde esté ubicada. La tabla 5.1.3.2 interpreta la clase de riesgo según el principio de ALARP.. Tabla 5.1.3.1 Ejemplo de clasificación de riesgo de incidentes. 28.

(29) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. Tabla 5.1.3.2 Interpretación de clase de riesgos. 5.1.4 Riesgo geográfico Es la medida de la probabilidad de que un evento ocurra en una ubicación geográfica específica. Cuando se diseña una planta de proceso se ha de tener en cuenta donde se ubican los pasos de personas, la sala de control, áreas de trabajo, salas intermedias, etc. para reducir el riesgo en caso de accidente.. Tabla 5.1.3.3 Contorno típico de riesgo geográfico. 5.1.5 Riesgo en la sociedad Es la relación entre la frecuencia de un cierto nivel de daño y el número de gente que se vería afectada en una población dada. No se suele utilizar en los análisis de riesgos para la determinación del nivel integro de seguridad (SIL) pero sí que es un índice normalmente usado por entidades gubernamentales en aplicaciones de desastres a gran escala y para la elaboración de planes de emergencia exteriores en zonas habitadas. 5.1.6 Factor de Reducción de Riesgo (RRF) Es el factor por el que el sistema instrumentado de seguridad de la planta bajará el riesgo del proceso (tras la aplicación de medidas de seguridad complementarias según las diferentes capas de protección), a un riesgo tolerable comparándolo a no tener un sistema de seguridad: RRF = 1 / PFDavg. (1). ¿Por qué reducir el riesgo? Las compañías tienen la obligación legal, moral y financiera de limitar el riesgo que implica sus operaciones. Deben hacer balance entre sus responsabilidades legales y morales manteniendo siempre una buena salud financiera. El adoptar y mantener un programa de gestión del riesgo facilitará obtener un criterio de selección de su riesgo tolerable manteniendo la tres responsabilidades: legal, moral y financiera. 29.

(30) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. Moral: hacer la planta tan segura como sea posible sin importar los costos. Legal: Cumplir con las regulaciones escritas, sin importar los costos y el nivel real de riesgos. Financiera: construir la planta más económica posible y mantener el presupuesto de operación lo más pequeño posible. Se ha de buscar el punto donde los tres apartados encajen, por lo que el riesgo al igual que el beneficio debe ser medido para determinar de manera más inteligente la mejor opción a seguir ante cualquier situación.. Figura 5.1.6.1 Secuencia para la reducción de riesgo. Bibliografía y referencias [1]. EMERSON Process Management, Plantweb University, Course Safety Instrumented Systems. www.emersonprocess.com.. [2]. Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor: Oswaldo E. Moreno, CFSE.. [3]. Process Safety Progress, American Institute of Chemical Engineers, 1999 AIChE.. [4]. Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.. [5]. Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie. 2nd Edition. ISA 2006.. [6]. IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3, IEC (International Electrotechnical Comission). 2003.. 30.

(31) Conceptos y Definiciones. 5.2. Sistemas Instrumentados de Seguridad. Índice SIL. Nivel Íntegro de Seguridad. Para saber qué nivel de confianza debe presentar una función de seguridad cuando el proceso demande su intervención se determina a través del índice SIL. Safety Integrity Level (SIL) es un nivel discreto, de 1 a 4, que nos indica que reducción de riesgo hemos de aplicar a la función de seguridad para alcanzar un riesgo tolerable. El propósito de seleccionar un SIL objetivo es especificar la reducción de riesgo requerida, es decir, la diferencia entre los niveles de riesgo existente y el riesgo tolerable. Cada nivel discreto se refiere a cierta probabilidad de que un sistema de seguridad realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones establecidas en un período de tiempo determinado. Está basado en la probabilidad de fallo en demanda (PFD) para cada particular función instrumentada de seguridad (SIF). La norma ANSI/ISA-SP84 define 3 niveles discretos. La IEC 61508 y IEC 61511 define 4 niveles discretos. La siguiente tabla muestra la relación de los rangos de la PFD asociado a un factor de reducción de riesgo (RRF) que corresponden a cada nivel SIL. Clasificación de la reducción de riesgo. Índice SIL Índice SIL. PFDavg. RRF. 4. 10-4 -> 10-5. 10000 -> 100000. 3. 3. 10-3 -> 10-4. 1000 -> 10000. 2. 2. 10-2 -> 10-3. 100 -> 1000. 1. 1. 10-1 -> 10-2. 10 -> 100. ISA. IEC. -. El índice SIL es el parámetro clave de diseño que evalúa la cantidad de reducción de riesgo que un equipo de seguridad requiere y que una función de seguridad debe lograr. Toda función de seguridad requiere que le sea asignado un valor de SIL. El SIL especifica como de bien los equipos realizan la función de seguridad (SIF). Si comparamos el diseño de un equipo de seguridad bajo la especificación de SIL con el diseño tradicional de un sistema de control, especificar la acción de una función instrumentada de seguridad no especificando su SIL sabremos qué acción tomará, pero no sabremos qué probabilidad tiene de que su funcionamiento sea correcto cuando se demande, con lo que deja de ser óptima. Seleccionando un SIL, damos un valor numérico (target/objetivo) a la efectividad de la función de seguridad y que tiene relación a la cantidad de riesgo que hemos de reducir. Es uno de los pasos comprendidos en el ciclo de vida de seguridad. El SIL es un documento junto con otros requerimientos y lógica operacional del SIS que son requeridos en las especificaciones de seguridad. La determinación de un SIL de una función debe ser definida en base a un análisis previo de riesgos cuantitativo o cualitativo. Es muy importante hacer un riguroso análisis de riesgos ya que el nivel de integridad de seguridad está en función de la confiabilidad y exactitud de dicho análisis.. 31.

(32) Conceptos y Definiciones. 5.3. Sistemas Instrumentados de Seguridad. SIF. Función Instrumentada de Seguridad. Usando la terminología de IEC 61511, una función instrumentada de seguridad (Safety Instrumented Function) es una función a ser implementada por un sistema instrumentado de seguridad y que tiene por finalidad el lograr o mantener el proceso en un estado seguro frente a un evento peligroso específico. Se trata de un conjunto sencillo de acciones específicas y sus equipos correspondientes, necesario para identificar un peligro y actuar para llevar al proceso a un estado seguro. Un sistema instrumentado de seguridad (SIS), por otro lado, es un conjunto de sensores, lógica de control y actuadores que ejecutan una o más funciones instrumentadas de seguridad (SIF) que actúan de diferentes formas para prevenir múltiples resultados peligrosos. Figura 5.3.1 Un SIS puede tener múltiples SIF, cada una con un SIL diferente, por lo que resulta incorrecto y ambiguo definir un único SIL para todo un SIS [1].. Figura 5.3.1 Ejemplo SIF’s de un SIS. Función de Seguridad. Condiciones de proceso. Lo que se tiene que hacer. SIF nº 1. Presión alta. Salida accionamiento 1. 1. SIF nº 2. Presión alta-alta. Salida accionamiento 1 + 2. 3. SIL. Por tanto el PFD de todo el lazo estará formado por el PFD de todos sus componentes de la SIF, así podremos determinar el SIL de cada función instrumentada de seguridad, es decir la siguiente SIF nº1 (figura 5.3.2):. Figura 5.3.2 ejemplo SIF nº 1. PFDSIF 1 = PFDFV −101 + PFDPT −101 + PFDPLC _ SEGURIDAD + PFDOTROS _ ELEMENTOS _ LAZO. (2). IMPORTANTE: El índice SIL se especifica y aplica a una única función instrumentada de seguridad SIF, no a todo el Sistema instrumentado de seguridad. Puede 32.

(33) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. que un mismo componente pertenezca a diferentes SIF’s, entonces se le aplicará el SIL más restrictivo. •. ¿Dónde comúnmente se implementan los sistemas instrumentados de seguridad y por tanto funciones instrumentadas de seguridad? (figura 5.3.3). Figura 5.3.3 Aplicaciones de SIS por tipo de industria y por tipo de equipo.. •. Implementación Función Instrumentada de Seguridad. La implementación de una función instrumentada de seguridad sencilla puede incluir múltiples elementos, sensores, módulos acondicionadores de señal, programadores lógicos, elementos finales de control y servicios utilitarios dedicados tales como alimentación eléctrica y/o aire de instrumentación. Al igual que un sistema de control, un sistema de seguridad tiene sensores. En las industrias de procesos los sensores miden los parámetros del proceso, como presión, temperatura, flujo, nivel, concentraciones de gases, etc. Un sistema de seguridad también cuenta con un procesador lógico que lee las señales de entrada y ejecuta acciones mediante un elemento final que actúa para llevar el proceso a un estado seguro, normalmente se trata de una válvula o un motor. (Figura 5.3.4). Figura 5.3.4 Arquitectura Sistema Instrumentado de Seguridad. Bibliografía y referencias [1]. Seminario: Descripción general de la Seguridad. EMERSON Process Management, Tarragona, Junio 2006.. 5.4. Auditoria de seguridad funcional (Functional safety audit). Examen sistemático e independiente para determinar si los procedimientos propios de los requisitos de seguridad funcional que obedecen a unas medidas planificados, son 33.

(34) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. implementados de forma eficaz y son apropiados para conseguir los objetivos especificados. Pueden ser internas, de la propia organización y externas, por una organización independiente tercera con poder de certificación tipo TÜV, agencia independiente aceptada internacionalmente. 5.5. Árbol de fallos.. Representación gráfica lógica y organizada de las condiciones o factores que causan o contribuyen a que ocurra un evento no deseado definido. 5.6. Avería (Failure).. Interrupción de la capacidad de una unidad funcional para realizar una función requerida. 5.7. BPCS. Sistema Básico de Control de Proceso.. Sistema que responde a las señales de entrada de un proceso, a sus equipos asociados, a otros sistemas programables y/o operadores de planta generando salidas que se ajustan continuamente con el fin de controlar el proceso y operar la planta de la forma deseada, pero que no realiza ninguna función instrumentada de seguridad. Actualmente el sistema más común es el DCS, sistema de control distribuido. 5.8. Capas de protección.. Sistemas de protección independientes que generalmente involucran diseños especiales, equipos de proceso, sistema básico de control de proceso, sistema instrumentado de seguridad, procedimientos administrativos como planes de emergencia, y/o respuestas planificadas para la protección contra un riesgo inminente. Las normas de seguridad definen una capa de protección como cualquier mecanismo independiente que reduce el riesgo mediante control, la prevención o la mitigación. La suma de las capas de protección es lo que se conoce como seguridad funcional. Estas respuestas pueden ser iniciadas automáticamente o por acciones humanas. (Ver Figura 1.1 Capas de protección, Capítulo 1L) 5.9. Ciclo de vida de seguridad (CVS). Safety LifeCicle (SLC). Secuencia de actividades involucradas en la implantación de sistemas instrumentados de seguridad desde el diseño y el análisis de riesgos del proceso, que indicará la necesidad de implantación de un SIS, hasta el desmantelamiento del sistema instrumentado de seguridad. También se puede encontrar con el acrónimo CVSF, Ciclo de Vida de Seguridad Funcional. 5.10 Comisionamiento Verificación y confirmación de que el SIS ha sido instalado y cumple con las características especificadas en la documentación del diseño detallado y se encuentra listo para las pruebas de pre-arranque. Son las pruebas de aceptación en sitio (SAT).. 34.

(35) Conceptos y Definiciones. Sistemas Instrumentados de Seguridad. 5.11 Comunicación externa Intercambio de datos entre el SIS y una variedad de sistemas o dispositivos que se encuentran fuera del SIS, tales como interfaces del operador, interfaces de ingeniería/mantenimiento, sistema de adquisición de datos, etc. 5.12 Comunicación interna Intercambio de datos entre diferentes dispositivos dentro de un sistema programable electrónico (PES) dado. Esto incluye conexiones vía bus, I/O del bus local o remotas, etc. 5.13 Confiabilidad (Reliability) Confiabilidad (R) es la probabilidad de que un sistema pueda desempeñar una función definida bajo condiciones especificadas para un periodo de tiempo dado. R(t) = P(T>t); donde T es el tiempo de fallo para el intervalo 0 -> t R(t) = e-λt. (2). Donde λ es la tasa de fallos y se considera constante dentro de la zona de vida útil del equipo en la curva de la bañera (ver definición de 5.64 tasa de fallo). Una aproximación válida en seguridad es: R(t) = 1-λt 5.14 Daño Lesión física o perjuicio a la salud de la población directa o indirectamente como resultado de daño a la propiedad o al medio ambiente. 5.15 Peligro (Hazard) Fuente potencial de crear daño. Incluye el daño producido directamente a las personas, como en una explosión, un fuego, etc., así como el efecto producido a largo plazo en la salud de las personas, por ejemplo por el contacto con sustancias tóxicas. 5.16 Demanda Una condición o evento que requiere que el SIS lleve a cabo una acción apropiada para prevenir un evento peligroso, o para mitigar sus consecuencias. 5.17 Desenergizado/Energizado para disparo. Desenergizado: Circuitos SIS en donde las salidas y dispositivos se encuentran energizados en operación normal. Cuando se suspende el suministro de energía se produce una acción de disparo, y por tanto la activación de la función de seguridad. Energizado: Circuitos SIS donde las salidas y dispositivos se encuentran desenergizados en operación normal. Cuando se les aplica energía se les produce una acción de disparo, y por tanto la activación de la función de seguridad. 5.18 Desmantelamiento O descomisionado. Es la anulación por completo de un SIS de su servicio activo, y una de las partes del ciclo de vida de seguridad. 35.