Alarmas Críticas de Proceso (con Respuesta del Operador): Su Aplicación, en las Industrias de Alto Riesgo

Ing. Ana María Macías Juárez1, Ing. Rufino Perea Lorenzo2.
1,2MAJA Consulting Group, S.A. de C.V. / Staff del Comité de Seguridad ISA México. amacias@majaconsultinggroup.com; rufino_perea@majaconsultinggroup.com

ISA InTech México,
Edición Junio – Agosto 2017.

RESUMEN

En este artículo se describe la aplicación de las alarmas críticas de proceso en las industrias de alto riesgo, en donde se requiere la respuesta del operador. Se recomiendan los pasos necesarios para valorar si una alarma crítica requiere cumplir con los requisitos de una Capa de Protección Independiente (IPL) y con ello, determinar el nivel de robustez requerido en su diseño y en su implementación. Se destacan las propiedades que debe reunir una alarma como IPL, las características que debe cumplir para poder dar crédito a su efectividad y la importancia de estimar el Tiempo Seguro del Proceso.

PALABRAS CLAVE: Alarmas Críticas, Tiempo Seguro del Proceso, Capas de Protección Independientes (IPL’s), Sistema de Control Distribuído (DCS), Factor de Reducción de Riesgo (RRF), Panel de Alarmas.

INTRODUCCIÓN

Derivado de los riesgos inherentes del proceso por el manejo, transporte o almacenamiento de las sustancias peligrosas, es conveniente que los sistemas de seguridad de una planta sean diseñados con las mejores prácticas posibles de ingeniería. Una de ellas, el ciclo de vida de seguridad, mostrado en estándares tales como el IEC 61511-1:2016, posibilita aplicar principios que permiten reducir los errores sistemáticos presentes en los sistemas de seguridad. Este ciclo puede ser llevado a cabo para planear, desarrollar e implementar dichos sistemas, cuyos principios son aplicables aún para sistemas que no sean contemplados como funciones instrumentadas de seguridad.

El propósito de una alarma es notificar al personal operativo del mal funcionamiento de un equipo e indicar la desviación del proceso o de una condición anormal que requiere de una respuesta del operador.

Las alarmas, con las características de una Capa de Protección Independiente (IPL), apoyan al operador para mantener al proceso en condiciones normales de operación; la respuesta y atención de estas alarmas disminuye o previene la ocurrencia de un evento no deseado, proporcionando una reducción del riesgo y justificando el diseño de la alarma con las características de una IPL.

CARACTERÍSTICAS DE UNA ALARMA

Es difícil darle crédito a la efectividad de los Sistemas de Alarmas de Proceso, ya que ésta depende de muchos factores. De acuerdo a EEMUA 191, una alarma de proceso debe reunir las siguientes características:

  • Debe de anunciar al operador los problemas en el proceso o equipos, no condiciones cotidianas del proceso.
  • Ni con demasiada antelación al requerimiento de respuesta o demasiado tarde para hacer algo.
  • Que el mensaje indicado sea claro y fácil de entender.
  • Que asista al operador. Que sea indicativo de la acción a ser tomada.
  • Única. Que su acción no esté duplicada con otra alarma.
  • Indica la importancia de que el operador atienda el problema.
  • Que diagnostique. Que identifique el problema que ha ocurrido.
  • Llamar la atención hacia las tareas más importantes.

En el mismo camino hacia la confiabilidad de la alarma, EEMUA 191 da sugerencias en relación a las variables a medir por los sensores. La medición debe ser directa sobre la variable de proceso y no debe ser inferida (por ejemplo, medir la presión en el proceso, en lugar de medir indirectamente ésta, a través de la posición de cierre de la válvula que ocasionaría la sobrepresión).

Los problemas que se presentan comúnmente en los sistemas de alarmas son:

  • Sobrecarga de alarmas: cuando existen varias alarmas activadas en la misma interfaz. Ver figura 1.
Figura 1. Sobrecarga de Alarmas.
  • Avalancha/Inundación de alarmas: Cuando la tasa de activación de las alarmas supera las 10 alarmas por minuto.
  • Alarmas con disparo en falso: Cuando estas se activan frecuentemente e innecesariamente, distrayendo la atención del operador y con ello, se resta credibilidad al sistema de alarmas.
  • Alarmas repetitivas: Alarmas que oscilan entre el estado activado a normal y viceversa. Normalmente son causa de una inadecuada configuración de la alarma, o bien, indican una operación anormal de los equipos u operaciones de la planta que son muy variables y requieren prestarles atención. Genera una gran carga al registro del sistema.
  • Alarma permanente: Alarmas que permanecen activas por largos periodos, no requieren acción del operador, o bien, no se restablecen después de que el operador toma acción. Tienden a distraer al operador, evitando que detecte alguna nueva alarma.
  • Alarmas duplicadas: Son alarmas que están asociadas a un mismo nombre o etiqueta, por lo que pueden ser generadas por varias condiciones.

Por ello, para poder desarrollar un sistema de alarmas efectivo, es necesario llevar a cabo una secuencia de pasos que incluyan:

  • Filosofía del Sistema (documentar los objetivos del sistema de alarmas y el proceso requerido para cumplir con estos objetivos),
  • Identificación (listar las potenciales alarmas a partir de estudios tales como HazOp (Análisis de Peligros en la Operación) e inclusive el análisis de capas de protección – LOPA),
  • Racionalización (filtrar las alarmas identificadas con los criterios establecidos en la filosofía del sistema de alarmas, lo cual incluye evaluar la factibilidad de su implementación, tal como la estimación del tiempo seguro del proceso),
  • Diseño Detallado, Implementación, Operación y Mantenimiento.

Un ejemplo de esta secuencia de pasos está indicado en el ciclo de vida de la administración de las alarmas, ISA 18-2. De forma esquemática, el ciclo de vida se presenta en la figura 2.

Figura 2. Ciclo de Vida de los Sistemas de Alarmas.

ALARMA COMO IPL

En la figura 3, se muestran las capas de protección que normalmente se encuentran en las Plantas de Proceso.

Figura 3. Diagrama de la Cebolla. Capas de Protección Típica en una Planta de Procesos.

Cabe mencionar que las reglas que debe cumplir una Alarma para que sea considerada como Capa de Protección Independiente son:

  • Específica: la IPL debe ser diseñada para prevenir un escenario de riesgo en específico.
  • Independiente: Todos los componentes de la IPL deben ser independientes del evento iniciador y de otras Capas de Protección.
  • Confiable: La IPL debe de proporcionar al menos un factor de reducción de riesgo de 10.
  • Auditable: Debe ser posible validar la efectividad de la IPL a través de un proceso de auditoría, el cual normalmente contempla pruebas manuales. Para el caso de las alarmas críticas, el proceso involucra el desempeño del personal operativo y de los procedimientos a la atención de la alarma. Como apoyo a esta auditoría, se puede hacer uso de los registros (base de datos) del Sistema de Alarmas.

Por ello, para lograr que una alarma como capa de protección sea confiable, se debe obtener un factor de reducción de riesgo de 10 o más (lo que para una alarma crítica de proceso es considerado en muchas bibliografías como el máximo valor al que se le puede dar crédito), de acuerdo al concepto de capa de protección independiente establecida en la norma IEC 61511-1.

Además, es requerido registrar las alarmas o eventos generados para un análisis de incidentes posterior (ya sea una bitácora física o bien en una base de datos automatizada), y también con ello, auditar la efectividad de la alarma, en cuanto al tiempo de respuesta a la alarma, y si la alarma está causando una tasa de disparos en falso especifica de la alarma (spurios trip), mayor a la considerada en su diseño.

Es necesario mostrar de una forma distintiva y clara al personal, las situaciones que pueden ser peligrosas con la intención de arreglar los eventos que son la causa del problema a través de criterios adecuados para diseño de pantallas HMI, ver figura 4.

Figura 4. Criterios para diseño de pantallas HMI, de acuerdo a ISA 101.

TIEMPO SEGURO DEL PROCESO

El tiempo invertido en arreglar el problema y en poner al proceso en estado seguro por parte del operador, debe ser menor que el intervalo de tiempo que llevaría desde que se presenta la causa del problema hasta que se manifiesta en una situación peligrosa (Tiempo Seguro del Proceso). Aquí juega un papel importante la priorización de las alarmas, ya que, durante la atención a una situación de emergencia en la planta, normalmente se presenta la desestabilización de las variables de proceso, siendo prioridad atender la de mayor peligro (para lo cual, el Análisis de Consecuencias y el Tiempo Seguro del Proceso, intervendrían en esta toma de decisión durante la etapa de diseño de la alarma).

En la figura 5, se indica el Tiempo Seguro del Proceso, dentro del cual, debe de responder el operador ante la alarma, el cual es el procedimiento adaptado por Maja Consulting Group tomando como referencia los criterios internacionales tales como EEMUA 191, ISA 18.2.

Figura 5. Tiempo Seguro del Proceso, y la atención a la Alarma.

El tiempo que debe disponer el operador desde que detecta que la variable de proceso se ha salido de su condición normal de operación, hasta que el proceso es retornado a niveles seguros es de 10 a 20 minutos, dependiendo de la cercanía de la persona al lugar donde se encuentra el equipo al cual manipulará para llevar al proceso al estado seguro, hay que considerar también que en este tiempo el operador debe dedicarse a atender sólo esa alarma. Un menor tiempo imposibilitaría la efectividad de la acción humana, la cual tendría que ser entonces de forma automática (a través de un sistema de enclavamientos o sistema instrumentado de seguridad, dependiendo del nivel de confiabilidad requerida).

En el caso de que la estimación del tiempo seguro del proceso sea >> 30 minutos, es conveniente analizar si la señal se administra como una señal de baja prioridad o alerta (una categoría debajo de una alarma crítica), y con ello, racionalizar este tipo de señales, principio de los estándares relacionados a las alarmas, con el fin de evitar la inundación de alarmas por despliegue de señales con menor importancia.

También es importante mencionar, que un sistema que no fue diseñado tomando en cuenta las condiciones que puedan originar falsos disparos, durante la etapa de operación se vuelve ineficaz por su baja credibilidad, por lo cual será ignorado o dejado fuera de operación.

ENFOQUES PARA LA IMPLEMENTACIÓN DE ALARMAS CRÍTICAS

En cuanto a la independencia en hardware, se sugiere que pueden utilizarse dos enfoques para lograrlo.

Figura 6. Enfoques para la implementación de las Alarmas Críticas.

El primer enfoque, de acuerdo a la figura 6, considera sistemas totalmente independientes (control básico de proceso independiente del sistema de alarmas), el cual cada uno puede alcanzar un factor de reducción de riesgo aproximado de 10. Dependiendo de la cantidad de alarmas a implementar y el nivel de complejidad a configurar, será el tipo de visualización a implementar en el sistema de alarmas (panel de alarmas bajo ANSI/ISA-18.1 o sistema de alarmas en plataforma de control independiente, bajo ISA 18-2).

El segundo enfoque, de acuerdo a la figura 6, considera el sistema de control del proceso y el sistema de alarmas, montados sobre un sistema de control común a ambos.

El estándar ANSI/ISA-18.2 considera un ciclo de vida para todas las etapas a desarrollar, incluyendo la filosofía de operación (definición del alcance), identificación de la necesidad de una Alarma (de varias fuentes posibles, una de ellas es el análisis de peligros en el proceso), racionalización, diseño detallado, implementación, operación, mantenimiento, administración del cambio, monitoreo, evaluación, y auditoría.

En algunas instalaciones industriales, el panel de alarmas (diseñado de acuerdo a ISA-18.1) está conectado en cascada al DCS; es decir, el instrumento que mide la variable de proceso se conecta al DCS y cuando se alcanza el punto de ajuste de la alarma (configurada en el DCS si es un transmisor de presión o configurada en el instrumento si es un interruptor de presión), manda una señal de salida hacia el Panel de Alarmas, que recibe esta señal como una entrada, siendo por ello el panel de alarmas completamente dependiente al Control Básico del Proceso, por lo que no es considerado una Capa de Protección Independiente; esta topología es una variación del segundo enfoque.

Una solución que hoy en día la tecnología permite, es el conectar un Panel de Alarmas, de acuerdo a ISA-18.1, que reciba directamente la señal de un instrumento dedicado (midiendo la variable de proceso de interés al punto de ajuste requerido para Alarma), pero con salida de comunicaciones (Ethernet, por ejemplo, y considerando la aplicación de las recomendaciones de ISA 99), del Panel de Alarmas hacia la base de datos del DCS. Esto permite independencia en Hardware sin comprometer la Función de Seguridad, ya que las comunicaciones son utilizadas para tener los registros históricos de las alarmas, y en caso de falla del DCS (aleatoria o sistemática), la Alarma Crítica operará sin verse afectada (en el caso del DCS siendo el evento iniciador del escenario de riesgo, o el DCS actuando como otra IPL).

PRIORIZACIÓN DE ALARMAS

De acuerdo a estudios realizados por diversos comités y compañías especializadas (ver referencias 1,8,9), una planta debe priorizar sus alarmas de la siguiente forma (ver figura 7):

  • aproximadamente 1% de las alarmas deben ser las de más alta prioridad (por ejemplo, alarmas críticas),
  • aproximadamente 5% las alarmas de alta prioridad,
  • aproximadamente 15 % de alarmas de media prioridad,
  • y el restante aproximadamente 80% de alarmas de baja prioridad.
Figura 7. Priorización de Alarmas de acuerdo a su Consecuencia ($, fatalidades).

Si se tuviera una base de datos maestra de alarmas (MADB) con 2,000 alarmas, las alarmas críticas debieran ser máximo 20.

PROBABILIDAD DE FALLA DE LA ALARMA EN ESTADO PELIGROSO

Consideremos el siguiente procedimiento para el primer enfoque, a manera de ejemplo, para evaluar de forma cuantitativa si se alcanza la reducción de riesgo requerida por parte del sistema de alarmas (Factor de Reducción de Riesgo FRR=10) (nota: en el presente ejemplo, se evalúa solo la parte del sistema de alarmas, no el control básico de procesos). Considerando los datos de tasa de falla genéricos (usados en este caso solo con fines didácticos) de los siguientes componentes de hardware:

Tabla 1. Tasas de falla usados en este caso solo con fines didácticoss para componentes de hardware propuestos para el análisis

 

La suma de estas tasas de falla resulta en una tasa de 0.1 / año. De acuerdo a datos de fabricante, una tercera parte de estas fallas son peligrosas; es decir, con una tasa de 0.033 /año. Si el sistema es probado dos veces por año (todos los elementos del lazo), entonces el intervalo entre pruebas es 0.5 años. Esto conlleva que la probabilidad de falla de la alarma en estado peligroso en cualquier momento, es decir, su PFDavg es:

  • PFDavg = tasa de fallas peligrosas x (intervalo de pruebas) / 2
  • PFDavg (hardware) = 0.5 x (tasa de fallas peligrosas) x (intervalo de prueba) = 0.5 x 0.033/año x 0.5 años
  • PFDavg(hardware) = 0.00825.
  • En el caso de que la alarma nunca fuera probada, su PFD tendería a ser 1.

Ahora, asumiendo que la confiabilidad del operador no puede ser menor que 0.1 (condición realista si se consideran requisitos que sí se pueden cumplir tales como el buen entrenamiento a la atención de la alarma, procedimientos en el sitio, pero no tanto cuando el operador está bajo estrés, de acuerdo a criterios de EEMUA-191 y si además se consideran los efectos ambientales tales como nieve, lluvia, etc. que dificultaran al operador maniobras en el área de planta para llevar al proceso al estado seguro de forma manual) se tiene:

  • PFDavg(operador) = 0.1

Calculando la reducción de riesgo para el operador y el hardware, es decir, el lazo del sistema de alarmas, tenemos:

  • PFDavg(lazo del sistema de alarmas) = PFDavg(hardware) + PFDavg(operador)=
  • PFDavg(lazo del sistema de alarmas) = 0.10825, lo cual dá un FRR=9.2378, valor muy cercano al de 10 requerido.

Se puede disminuir el PFDavg del lazo del sistema de alarmas solo si se considera un hardware más robusto, aunque éste no alcanzaría a disminuir por debajo de 0.1 ya que depende del PFD del operador, y éste es el que más pesa en el cálculo.

En el caso del operador, es conveniente manejar el valor de PFDavg = 0.1 ya que un valor más bajo depende de que se cumplan muchas condiciones para poder sustentar su efectividad. Este valor de PFDavg = 0.1 aun así requiere también se reúnan una serie de requisitos tales como el debido entrenamiento en el procedimiento operativo de la alarma, pruebas al sistema de alarma, y la auditoría de la efectividad de la alarma mediante simulacros de la atención a la respuesta en entornos reales.

Para el caso del segundo enfoque (Figura 6), de acuerdo al cálculo de PFDavg indicado anteriormente, sería muy difícil poder darle crédito de un FRR mayor a 9.2378 con la misma tecnología mostrada, ya que, por tener componentes compartidos, reduce el nivel de confiabilidad del hardware. Por consiguiente, es más apropiado para el caso del segundo enfoque, no considerar que reduce el riesgo (para efectos de LOPA, no considerarlo como una capa de protección independiente, y ponerle el peso de la reducción del riesgo a otras capas).

ALARMA CRÍTICA CON RESPUESTA DEL OPERADOR

Con el propósito de hacer hincapié en la justificación del tiempo seguro del proceso para darle crédito a la Alarma Crítica dentro de la fase de racionalización de la Alarma, a continuación, se muestra en la figura 8, la secuencia propuesta.

Figura No. 8. Secuencia para la justificación de la Alarma Crítica con Respuesta del Operador con respecto al tiempo seguro del proceso e Independencia de Hardware.

Cabe mencionar, que aun cuando no se haya identificado una alarma crítica con respuesta del operador como recomendación en la etapa de identificación del riesgo (tal como el HazOp), podría proponerse ésta en la etapa de LOPA, derivado de la necesidad de reducir el riesgo en primera instancia con una capa no-SIS, tal como recomiendan los estándares de seguridad funcional.

CONCLUSIONES

Es importante considerar desde la etapa de diseño, que las alarmas críticas (con respuesta del operador), sustenten sus características de efectividad (disponibilidad, confiablidad y falsos disparos), y se ligue la importancia de su implementación con el nivel de riesgo asociado.

No es práctico desde el punto de vista de la seguridad y de los recursos invertidos, implementar Alarmas de Proceso, cuando éstas no le indican al operador de las desviaciones o condiciones anormales del proceso que requieren de una respuesta apremiante.

Es de igual importancia, considerar las opciones con las que un sistema de alarmas puede llevarse a la práctica, ya sea a través de un panel de alarmas o un sistema de alarmas en el controlador programable y con interfaz de usuario (HMI, por sus siglas en inglés).

REFERENCIAS

[1] ANSI / ISA-18.2-2016, Management of Alarm Systems for the Process Industries.
[2] ANSI / ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod), Functional Safety: Instrumented Systems for the Process Industry Sector – Part 1: Framework, Definitions, Systems, Hardware and Software Requirements.
[3] ANSI/ISA-101.01-2015 – Human Machine Interfaces for Process Automation Systems.
[4] EEMUA Publication No. 191 Edition 2, 2007, Alarm Systems: A Guide to Design, Management and Procurement.
[5] Layer of Protection Analysis: Simplified Process Risk Assessment. 2001, Aiche CCPS.
[6] Guidelines for Initiating Events and Independent Protection layers in Layer of Protection Analysis, Aiche CCPS, 2015.
[7] Seguridad Funcional en Instalaciones de Proceso. Sistemas Instrumentados de Seguridad y Análisis SIL. I. Fernández, A. Camacho, C. Gasco, A.M. Macías, M.A. Martín, G. Reyes, J. Rivas, ISA Sección Española, 2012.
[8] Practical SIL Target Selection, Scharpf Eric, Hartmann Heidi, Thomas Hal, EXIDA 2012.
[9] Seguridad Funcional incluyendo Ciberseguridad y Administración de Alarmas, De los Santos Jonathan, Esparza Alejandro, EXIDA 2013.
[10] Alarm Management for Process Control, D.H. Rothenberg, Momentum Press, 2009.
[11] https://www.eemua.org/
[12] https://www.isa.org/
[13] www.iec.ch/
[14] https://www.aiche.org/

ACERCA DEL AUTOR

Ing. Ana María Macías Juárez. CEO de MAJA Consulting Group, S.A. de C.V., Ingeniero de Análisis de Riesgos, con 18 Años de experiencia en Estudios de análisis de Riesgo y desarrollo de ingenierías en seguridad de procesos, Estudios de Factibilidad Costo Beneficio de implementación de sistemas de seguridad, determinación de SIL objetivo e ingenierías de Seguridad funcional. Ha trabajado en centros de investigación de tecnología en México e implementado múltiples funciones de seguridad en plantas de transformación y los sistemas de transporte de hidrocarburos en México. Cuenta con los Grados de MBA Master Internacional en Administración de Negocios (EAE Business School, Madrid, España), Máster Profesional en Instrumentación y Control de Procesos (Centro Superior de Formación Repsol, Madrid, España/Isa Sección Española). Cuenta con acreditación como auditor del cumplimiento de la Norma Oficial Mexicana relativa a Administración de la Seguridad en Procesos (PSM). Ha publicado artículos para ISA Estados Unidos y México así como AICHE. Forma parte del Comité de Seguridad de ISA en México. Coautor del libro Seguridad Funcional en instalaciones de Procesos por ISA España. Capítulos 5 y 17 (Diseño seguro y caso práctico).

Ing. Rufino Perea Lorenzo, Gerente de Proyectos de MAJA Consulting Group, S.A. de C.V. Ingeniero Electrónico, con 18 Años de experiencia en Automatización, Ingenierías de Seguridad Funcional y Análisis de Riesgos de Procesos, ha trabajado en proyectos de SCADA, Ingenierías de Detección de Gas y Fuego, Sistemas de Paro por Emergencia y en la Determinación de Funciones de Seguridad en los Sistemas de transporte de hidrocarburos en México. Experto Certificado en Seguridad Funcional CFSE (Certified Functional Safety Expert) CFSE 150915 001 por Exida y con Acreditaciones en Alarm Management, Process Hazard Analysis, Functional Safety Management, Safety Instrumented System Design. Acreditación Mexicana CONOCER en Diseño e Impartición de Cursos de Capacitación. Cuenta con estudios de Maestría en Redes y Telecomunicaciones (UCC, Veracruz, México), así como Máster Profesional en Instrumentación y Control de Procesos (Centro Superior de Formación Repsol, Madrid, España /ISA Sección Española). Ha publicado artículos para ISA Estados Unidos y México así como AICHE. Forma parte del Comité de Seguridad de ISA en México.

1+
Compartir:

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.