Nivel de integridad de Seguridad (SIL) en procesos industriales

Por Comité de Seguridad
ISA InTech México,
Edición Julio – Septiembre 2012. Año 11 Número 3.

Dado que el objetivo de la seguridad funcional es la ausencia de riesgos inaceptables de lesiones físicas o de daños a la salud de las personas de manera directa o indirecta (mediante afectaciones a la propiedad o al medio ambiente); día a día es cada vez más importante para la industria de alto riesgo (ejemplo gas, petróleo, química y petroquímica) implementar y seguir de manera adecuada programas de seguridad apegados a normatividad nacional e internacional, que aseguren procesos seguros y de mayor productividad.

La industria de alto riesgo es aquella en donde los procesos manejan reacciones inestables que pueden salir de control rápida y frecuentemente; de esta forma una serie de condiciones o eventos no previstos pueden desencadenar acontecimientos de graves consecuencias al personal, a las instalaciones y a la producción. Debido a lo anterior, se crea la necesidad de implementar equipos y sistemas (capas de protección) que minimicen la probabilidad de ocurrencia de un evento no deseado o que minimicen el riesgo.

En lo relacionado a estas capas de protección, podemos encontrar aquellas que involucran tanto hardware como software tales como:

  • Sistemas de Alarmas
  • Sistemas Instrumentados de Seguridad

Para los Sistemas Instrumentados de Seguridad (SIS) la normatividad habla de una determinación de SIL, posterior a las actividades de análisis de riesgo e implementación de Capas de Protección no SIL.

¿QUÉ QUIERE DECIR SIL?

No podemos definir el Nivel de Integridad de Seguridad o SIL por sus siglas en inglés (Safety Integrity Level) sin entender primero que éste siempre está asociado exclusivamente a una Función Instrumentada de Seguridad (FIS). Entonces, si partimos de que un Sistema Instrumentado de Seguridad (SIS) está compuesto por diferentes FIS, podemos comprender que en un SIS existirán tantos SIL’s como FIS coexistan.

Tratar de asignar un SIL a toda una planta o instalación, sería un error conceptual, también lo sería pensar que un controlador (por ejemplo, uno capaz de alcanzar SIL 3), es el que determine el SIL de una FIS o peor aún de un SIS completo.

Lo anterior nos lleva a estipular que el SIL es una medida específica del desempeño vinculado a la seguridad y éste es determinado para una FIS en específico.

Así entonces, para cuando una FIS sea puesta a demanda (sea necesaria su funcionamiento) el comportamiento de ésta, desde el punto de vista de su éxito o fracaso, será escalada en 4 diferentes niveles de acuerdo a la norma IEC- 61511.

Tabla 1. Requisitos de desempeño para los 4 niveles de integridad de seguridad.

En la tabla 1 se muestra un extracto de los 4 niveles SIL estipulados en la norma IEC 61511; cada nivel de la tabla está determinado por la Probabilidad de Falla en Demanda (PFD); esto es, la probabilidad de fracaso de una FIS. Por ejemplo, una Función con un SIL 1 tendrá una probabilidad de fallar cuando sea requerida entre 0.01 y 0.1 de las veces, lo cual pareciera una probabilidad baja; sin embargo una FIS con un SIL 4 tendrá una probabilidad de falla de entre 0.00001 y 0.0001 de las veces, lo que evidentemente es mucho menor.

El Factor de Reducción de Riesgo (que es el inverso de la PFD) evita el uso de notaciones científicas para definir el comportamiento de una FIS.

Regresando al ejemplo de una FIS con SIL 4, esta se interpretaría en l/PFD como el hecho que de una de cada 10,000 a 100,000 fallarían en el transcurso de un año. La Disponibilidad de Seguridad es la interpretación del comportamiento de la FIS desde el punto de vista del éxito de ésta. Así entonces, un SIL 4 es exitosa del 99.99 % al 99.999 de las veces que es requerida.

REDUCCIÓN DE RIESGO NECESARIA

De acuerdo a la ANSI/ISA-84.00.01-2004 (lEC 61511 Mod) para la evaluación y administración de riesgo se requiere que los peligros sean identificados, los riesgos evaluados y la reducción de riesgo se determine; para este último paso el cliente debe determinar los criterios y las bases sobre la reducción de riesgo, ya que el cliente define el nivel de riesgo que puede tolerar su planta. Así el cliente realiza una jerarquización de riesgo específica de su planta.

Un ejemplo se puede observar en la matriz de riesgos que está en norma de referencia NRF-018-PEMEX- Estudios de Riesgo y la cual se muestra a continuación en la tabla 2.

Tabla2. Matriz de Riesgos

Casilla Tipo A- Riesgo intolerable: El riesgo requiere acción inmediata; el costo no debe ser una limitación y el no hacer nada no es una opción aceptable. Un riesgo Tipo” A” representa una situación de emergencia y deben establecerse controles temporales inmediatos. La mitigación debe hacerse por medio de controles de ingeniería y/o factores humanos hasta reducirlo a Tipo C o de preferencia a Tipo D, en un lapso de tiempo menor a 90 días.

Casilla Tipo B- Riesgo indeseable: El riesgo debe ser reducido y hay margen para investigar y analizar a más detalle; no obstante, la acción correctiva debe darse en los próximos 90 días. Si la solución se demora más tiempo, deben establecerse controles temporales inmediatos en sitio, para reducir el riesgo.

Casilla Tipo C- Riesgo aceptable con controles: El riesgo es significativo, pero se pueden compensar con las acciones correctivas en el paro de instalaciones programado, para no presionar programas de trabajo y costos. Las medidas de solución para atender los hallazgos deben darse en los próximos 18 meses. La mitigación debe enfocarse en la disciplina operativa y en la confiabilidad de los sistemas de protección.

Casilla Tipo D- Riesgo razonablemente aceptable: El riesgo requiere control, pero es de bajo impacto y puede programarse su atención conjuntamente con otras mejoras operativas. El objetivo por tanto, es llegar al nivel de riesgo tolerable que está establecido por el cliente, esto se logra a través de una implementación de capas o estrategias de protección para reducción del riesgo.

IMPLEMENTACIÓN EN LA REDUCCIÓN DE RIESGO

Antes que nada debemos tener en mente que la norma IEC-61508 define a la seguridad como “libre de riesgos inaceptables”; por lo tanto, la seguridad absoluta nunca podrá ser alcanzada y en la práctica, el Riesgo sólo podrá ser reducido a un nivel aceptable.

Generalmente, los métodos de seguridad que se usan para reducir el riesgo son:

  1. Cambiar el proceso o diseño mecánico incluyendo arreglos de planta y equipos
  2. Incrementar la integridad mecánica del equipo
  3. Mejorar los sistemas básicos de control de procesos
  4. Incrementar la frecuencia de pruebas a componentes críticos del proceso y elementos de protección
  5. Aplicar un Sistema Instrumentado de Seguridad (SIS)
  6. Instalar equipos y sistemas de mitigación para reducir las consecuencias en caso de presentarse algún siniestro

Existe un método utilizado en la práctica para hacer la reducción del riesgo y es conocido como capas de protección, este método define a cada capa de protección con características que permiten implementar un diseño para un riesgo en específico con un determinado grado de confiabilidad.

La siguiente figura muestra como las capas de protección pueden usarse para reducir un nivel de riesgo ALTO (inaceptable) a un nivel BAJO (aceptable).

Algo importante de reconocer es que si se considera que para reducir el riesgo a un nivel aceptable en un proceso se requiere la implementación de un SIS, se debe definir el nivel de reducción de riesgo asignado a cada FIS que integrara el SIS, o en otras palabras el Nivel de Integridad de Seguridad (SIL) de cada FIS.

EVALUAR LA SEGURIDAD FUNCIONAL

Ahora bien, ¿el SIS ofrece la reducción de riesgo requerida para hacer nuestra planta segura? Dentro de la gestión de la Seguridad Funcional se incluye esta actividad, y la normatividad indica definir y ejecutar una evaluación que permita realizar un juicio sobre la integridad de seguridad alcanzada por el SIS. Esto significa que no basta con diseñar e implementar un SIS de acuerdo a las especificaciones o al SIL requerido, la gestión de la Seguridad Funcional exige una comprobación de que el SIS verdaderamente dará la reducción de Riesgo Requerida o cumplirá con el valor de desempeño especificado (SIL) para cada FIS durante su operación.

EJEMPLO DE UN ÍNDICE SIL

Para ejemplificar la aplicación de un índice SIL para una FIS se tomará a la industria química donde se está diseñando una nueva planta de producción. Debido a que la planta química lleva consigo riesgo para las personas que ahí laboran, para el medio ambiente y para la instalación, se requiere hacer un análisis; para determinar y cuantificar los peligros de la misma y en caso de ser necesario determinar el nivel de integridad de seguridad requerido por una FIS para alcanzar un nivel de riesgo tolerable de dicha planta, acorde con las políticas corporativas.

Para determinar el nivel de SIL es necesario identificar los riesgo o peligros por medio de un análisis con cualquier metodología para este fin como; un HAZOP, ¿Qué pasa si?, Árbol de fallas, lista de verificación, etcétera. En estos estudios se deben involucrar ingenieros de seguridad, de operación, de mantenimiento, de proceso, eléctricos, es decir, todo un equipo multidisciplinario.

Una vez realizado el análisis de riesgo e identificado y cuantificado los peligros, se encuentra que la planta química puede tener una falla durante su operación que genere un accidente y produzca muchas muertes, con una probabilidad ocurrencia alta. También es importante mencionar que en dicho análisis se identificó que el personal permanece poco tiempo en el área de proceso de la planta, ya que el control se hará de manera remota y solo se estará expuesto en caso de que algún instrumento o equipo falle; de este modo, a veces es posible evadir el riesgo.

Para determinar el SIL de manera cualitativa se hará uso de la gráfica de Riesgo, que se presenta a continuación, la cual fue calibrada acorde a las políticas de la empresa:

De acuerdo a este ejemplo; el análisis cualitativo realizado mediante el método gráfico calibrado acorde a las políticas de seguridad de la planta química. Se determina que el SIL requerido por la FIS es SIL 3, por lo que se recomienda agregar otras capas de protección para bajar este requerimiento, o diseñar un sistema instrumentado de seguridad con una FIS acorde a los requerimientos de SIL 3 que conlleve a reducir el nivel de riesgo de la planta a un valor aceptable y por lo tanto salvaguardar la integridad del personal que en ella labore, así como el medio ambiente y la instalación.

TIPOS DE ERRORES

Es importante mencionar que a lo largo del ciclo de vida de cualquier SIS podemos cometer o encontrar errores.

Existen dos grandes divisiones entre las que puede definir a un error; estos pueden ser errores aleatorios y errores sistemáticos.

Mientras que por concepto definimos que un error aleatorio es aquel error inevitable que se produce por eventos únicos imposibles de controlar, éste se contrapone al error sistemático, el cual comúnmente puede estar originado en un defecto de diseño, en una particularidad del operador o del proceso.

El error sistemático causa un impacto total al sistema, es por esto que en algunas ocasiones se les conoce como errores de causa común. Se pueden englobar otros factores sistemáticos que existen en el ambiente y que también se les puede aplicar esta definición. Estos factores pueden ser: calor, vibración y condensación, entre otros.

La presencia de un error (cualquiera que sea la naturaleza), afectará al sistema y esto deberá tomarse en cuenta durante la fase de especificación de los requerimientos de seguridad para estimar la reducción de riesgo requerida.

Los sistemas que comparten dispositivos o un subsistema con elementos redundantes están sujetos a fallas de causa común.

La falla de causa común implica que una misma condición ocasiona la falla simultánea de dos o más dispositivos sujetos a esa condición.

En un subsistema con elementos redundantes, este modo de falla se presenta cuando la redundancia es idéntica, es decir, los dispositivos son iguales y se verán afectados en la misma forma por un mismo denominador.

DISPOSITIVOS A EMPLEARSE

Como se mencionó anteriormente, no se puede asignar un valor SIL a un elemento del SIS (sensores, PLC o elementos finales de control); por ejemplo, es incorrecto decir que un sensor tiene SIL 2 o que un PLC de seguridad tiene SIL 3; la forma correcta, es decir que el sensor es apto para ser utilizado para una FIS que demande hasta SIL 2 Y que el PLC es apto para cumplir con diferentes FIS que demanden hasta SIL 3.

El valor del SIL se le da a cada FIS; es decir, a todo el lazo conformado por sensores, PLC de seguridad y elementos de control. El valor de SIL para cada FIS se determina posterior al análisis de riesgo.

El valor del SIL de una FIS depende de la PFD de todos los elementos que la conforman y del diseño de su arquitectura. La arquitectura de una FIS puede tener o no redundancia en sensores, PLC y elementos finales de control, lo anterior impacta en el valor de SIL de acuerdo a la norma IEC-61508.

1+
Compartir:

5 thoughts on “Nivel de integridad de Seguridad (SIL) en procesos industriales

  1. Me interesa mucho entender el significado del nivel SIL, sin embargo veo unas siglas en la redacción que no entiendo, ¿Es acaso un error de redacción o las siglas “PIS” tienen un significado diferente?. Alguien me puede contestar y despejar esta duda.?

    0
  2. Agradecemos la observación, fue un error en la transcripción, el termino correcto es FIS, ya fue actualizado en el documento.

    0

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.