SIL, PFD, MTBF, MTTF, MTTR y otros Confusos Conceptos en Seguridad Industrial

Ing. Eduardo Mota Sánchez
InTech México Automatización,
Edición Abril  – Julio 2013

INTRODUCCIÓN

En el ámbito de la seguridad funcional estamos obligados a enfrentarnos a diversos retos; entre ellos, entender el ciclo de vida de un SIS (Sistema Instrumentado de Seguridad) y comprender la gama de conceptos y abreviaturas que la seguridad funcional maneja, El presente artículo intenta aclarar algunas de las principales concepciones y acrónimos que se extienden por este campo.

NORMAS BASADAS EN DESEMPEÑO

El estándar IEC61511 es una norma basada en el desempeño. Desgraciadamente está lejos de ser una receta de cocina con los ingredientes secretos y las cantidades exactas para alcanzar la seguridad en planta. Es prácticamente imposible hacer una norma prescriptiva para la amplia gama de procesos de la industria, ninguna instalación es igual a otra y nunca una plataforma de extracción de crudo es exactamente la misma, y si éste fuera el caso, cabe la posibilidad de que el entorno en donde estas plantas se encuentran sea tan diferente que llegue a manejar riesgos totalmente distintos, y por ende a tratar la seguridad de manera desigual.

Derivado de lo anterior, en la norma IEC61511 se solicita en primer lugar hacer un análisis de procesos e identificar los peligros, posteriormente se requiere evaluar los riesgos, identificar o implementar las capas de protección y determinar si es necesaria la implementación de un SIS para alcanzar el riesgo tolerable.

Si como resultado de las etapas anteriores se determina implementar un SIS, será necesario determinar el SIL (Nivel de Integridad de Seguridad) de cada FIS (Función Instrumentada de Seguridad). Así, se puede decir que una FIS es como un lazo de control, pero está enfocado a prevenir un riesgo específico. La FIS estará formada por un sensor, un controlador y un elemento final, siendo la FIS la única a la cual se le asigna o asocia con un SIL.

DISPONIBILIDAD, PFD Y RRF

Hablar de SIL es hacer referencia a una medida de desempeño enfocada a la seguridad; es decir, la manera en la que una FIS se va a compor.tar cuando a ésta se le solicite actuar (modo bajo demanda). ¿Funcionará la FIS? ¿No funcionará?, desde el punto de vista de la seguridad, el lazo de seguridad tiene sólo dos opciones: funciona o no, por ende, su desempeño puede ser analizado desde estos dos puntos de vista. Apoyémonos en la tabla 1 para realizar este análisis.

Tabla 1: Requisitos de desempeño para los niveles de integridad de seguridad Modo Demanda

Ahora, si se elige el caso deseado para una FIS, ésta funciona adecuadamente cuando le es requerido, la medida en la que la FIS es exitosa o efectiva se encuentra en la columna denominada Disponibilidad de Seguridad. Así, por ejemplo, si se requiere implementar una FIS SIL 1, significará que todos los elementos que integran la FIS (sensor, controlador, elemento final) deberán ejecutar exitosamente su función en conjunto el 90% de las veces como mínimo. Por otro lado, si el requerimiento es un SIL 3 para la FIS, significará que su diseño garantiza como mínimo una efectividad del 99.9% y como máximo del 99.99%.

Para la mayoría de las personas es fácil entender este valor de desempeño; sin embargo, este término causa mucha confusión y por ende no es el usado por el estándar. Esto se debe a que el significado de “disponibilidad” existe para casi cualquier objeto; una computadora, una planta, incluso para un sistema de control se puede tener disponibilidad, y ésta nada tiene que ver con un SIL o el término Disponibilidad de Seguridad.

La normatividad IEC61511 maneja el término PFD (Probabilidad de Falla bajo Demanda), que no es otra cosa que el desempeño de la FIS analizado desde el punto de vista de que la FIS falle o no actúe cuando se le demande. De esta forma se tiene que para una FIS SIL 2 el rango de probabilidad de que falle o de que no sea efectiva será del 0.01 al 0.001.

Finalmente, el término RRF (Factor de Reducción de Riesgo) es la medida de reducción de riesgo asociada al desempeño de la FIS. Dado un determinado desempeño de la FIS existirá una medida en la que el riesgo será reducido.

El RRF es el inverso de la PFD, por lo que para una FIS SIL 2 se tendrá un RRF de 100 como mínimo, o puede interpretarse que el riesgo será reducido 100 veces o en dos órdenes de magnitud. Debido a que el riesgo está dado en términos de frecuencia y consecuencia, la reducción de riesgo asociada a cierto SIL se obtiene minimizando la frecuencia del evento, si por ejemplo, se tiene un riesgo igual a $1 millón de pérdidas/año y si éste no es un riesgo aceptable para la empresa, es posible implementar una FIS SIL 1 con un RRF de 10 como mínimo que afecte directamente la ocurrencia del evento para de esta manera obtener un riesgo igual a $1 millón de pérdidas/10 años, probablemente este sea ya un valor de riesgo aceptable.

Esta reducción de riesgo no significa que nuestra planta estará segura por los próximos 10 años, libre de un accidente que pudiera causar $1 millón de pérdidas; de hecho, el accidente pudiera ocurrir en el primer día de operaciones de la planta. ¿Cuál es entonces el beneficio que se obtiene? Aunque éste no resulta del todo claro, aquí se están manejando únicamente probabilidades y definitivamente, el segundo caso tiene una menor probabilidad de ocurrencia, y por lo tanto la planta tiene menor riesgo o es más segura.

CONFIABILIDAD, MTBF, MTTF Y MTTR

Muchas veces se preguntan, ¿en realidad es necesario tener un SIS completamente independiente del Sistema Básico de Control de Proceso (BPCS)? En el estándar internacional IEC61511 no se encuentra algún requerimiento tajante en este sentido; sin embargo, en diferentes puntos se hace mención que la separación de sistemas es altamente recomendable. Uno de los argumentos más fuertes para recomendar esta separación es el que un BPCS y un SIS trabajan y fallan de una manera diferente. El Sistema de Control trabaja de forma continua, mientras que un SIS puede operar continuamente y más comúnmente bajo demanda.

Por otro lado, un sistema de control falla de una sola manera, causando interrupciones en el proceso y en ocasiones pudiendo causar condiciones peligrosas o una demanda para un SIS; en tanto que el Sistema de Seguridad tiene dos formas de falla: segura y peligrosa, siendo entonces importante la manera en la que un SIS falla. De hecho el valor relacionado con el desempeño de la FIS es su Probabilidad de Falla bajo Demanda. Las fallas son tratadas por una rama de la ingeniería llamada Confiabilidad. Así, la tasa de fallas (A) se define como la cantidad de fallas por unidad de tiempo. En el ámbito de la confiabilidad, las unidades comunes para A son fallas/millones de horas; sin embargo, la mayoría prefiere el recíproco de la tasa de fallas, tiempo medio entre fallas (MTBF) que utiliza unidades en años.

Aquí surgen diversos términos de confiabilidad, como el MTTF (tiempo medio para fallar), utilizado para elementos que se reemplazan, no que se reparan; por ejemplo un foco tendrá MTTF, mientras que un Automóvil MTBF Algunos podrán argumentar que el MTBF pude ser una combinación de MTTF más un MTTR (tiempo medio para reparación), es válido este punto de vista y se cae en cuenta que el MTBF y el MTTF serán valores muy similares ya que éstos son manejados comúnmente en años mientras que el MTTR se considera en horas, ya que este tiempo, como su nombre lo indica, es el necesario para realizar la reparación del elemento.

FALLAS SEGURAS Y FALLAS PELIGROSAS

Dentro de los modos de Falla para un sistema de Seguridad se encuentran las Seguras y las Peligrosas.

Suponiendo una válvula de corte, ésta tiene el objetivo de interrumpir el flujo de gas hacia determinada área de proceso. La posición normal de esta válvula es abierta; sin embargo, por diferentes factores, tales como la humedad o la temperatura, a la cual la válvula se encuentra, se tendrán fallas aleatorias, así que de repente, la válvula fallará en algún momento y se cerrará, impidiendo que el gas llegue al área de proceso. Éste es el típico ejemplo de una falla segura, no hay implicaciones de seguridad, sólo de producción, tiempo y dinero que se pierde al no poder mantener el proceso en operación.

Ahora, al imaginar esta misma válvula, pero en este caso, se ha quedado pegada por estar la mayor parte del tiempo en la posición de abierta, aquí hay una implicación de seguridad muy importante; primero, el usuario no sabe que la válvula se ha pegado, y segundo, es probable que no se dé cuenta de esta situación sino hasta que requiera cerrarla por una cuestión de seguridad, la falla peligrosa es el equivalente a quedarse sin frenos en un automóvil.

De esta forma se puede tener un λspurios y un λDangerus, fallas seguras y fallas peligrosas respectivamente. Las fallas seguras y peligrosas tienen una clasificación adicional; detectadas y no detectadas. Existirá la posibilidad de encontrar fallas en los sistemas a través de diagnósticos y pruebas, las cuales advertirán ante cualquier anomalía o impedimento del sistema para ejecutar la función de seguridad, ayudando a tomar acciones y reparar un elemento antes de que exista una demanda, garantizando de esta forma que, cuando la demanda exista el sistema ejecutará la función. Por ende, los diagnósticos y las pruebas pueden elevar el nivel de desempeño de la FIS. A continuación contaremos con λSD, λSU, λDD, y λDU Fallas (seguras detectadas y seguras no detectadas) y Fallas (peligrosas detectadas y peligrosas no detectadas).Cuando se observa la fórmula simplificada para el cálculo de PFD para una arquitectura sencilla(1oo1) es visible que éstas contemplan únicamente las fallas peligrosas no detectadas  la magnitud de este tipo de fallas se ve afectada directamente por la cantidad de Diagnósticos con que se cuenten y adicionalmente la fórmula para el cálculo también contempla el Intervalo de Pruebas (IT) que realicemos a la FIS.

PFDavg = λdu’ | T/2

Es aquí cuando las pruebas toman gran importancia, ya que si por ejemplo por razones operacionales del proceso sólo se tendrá la posibilidad de probar la función cada 4 años, este factor impactará en la PFD y obligará al diseñador a utilizar equipos de mucha mayor calidad con mejores valores de tasas de falla y/o implementar redundancia para mejorar estos valores, incrementando los costes del SIS.

En tanto para una FIS que maneja un intervalo de pruebas de un año, o seis meses, con equipos convencionales, se podrán alcanzar valores de PFD requeridos. Un punto importante es no olvidar que cuando se diseña el sistema se debe tomar en cuenta un valor de intervalo de pruebas real, y una vez asignado para realizar los cálculos y el diseño de la FIS, este intervalo se debe respetar a lo largo de la vida útil del SIS; si un sistema no se prueba en el intervalo especificado para tal fin, se estará cayendo en una violación de seguridad y no se cumplirá con los valores de PFD requeridos.

Por otro lado, al preguntar ¿para qué se utilizan las fallas seguras si ya se ha calculado el SIL? La λs nos ayuda con el cálculo de disparos en Falso MITFspurious valor que también es fundamental en el diseño de un SIS, ya que mientras el valor de PFD habla del desempeño de la FIS en cuanto a Seguridad, un MITFspurious hablará de los disparos en falso o interrupciones en el proceso que se tendrán debido a una falla aleatoria en la FIS. Las interrupciones al proceso son importantes debido a cuestiones económicas, pero también lo son desde el punto de vista de la seguridad, una buena cantidad de accidentes han ocurrido en el arranque, tras un paro de planta no deseado.

PFD y MITFspurious ambos valores deben ser claramente especificados para que durante el diseño de la FIS se tomen las consideraciones necesarias. Para la definición del SIL el valor comúnmente utilizado es PFD, mientras que para los disparos en falso se utiliza MITFspurious. La arquitectura y el nivel de redundancia para cada FIS depende de estos dos valores, lo que significa que se podrá encontrar una FIS redundante SIL 1, la cual requiere de redundancia no por el requerimiento de Seguridad, sino por el requerimiento de disparos en Falso. O se podrán diseñar arquitecturas triplicadas para cumplir con valores altos de seguridad como SIL 3 Y valores bajos de disparos en falso.

Hay que recordar que lo más importante es la Seguridad, pero inmediatamente se tiene la producción como segunda prioridad. Actualmente se requieren procesos seguros pero que cumplan con el requerimiento de bajos disparos en Falso, con la finalidad de cumplir con los objetivos de producción.

ACERCA DEL AUTOR

Ing. Eduardo Mota Sánchez CFSP, S84 SFS, Consultor Técnico para Seguridad de Procesos Rockwell Automation, Director del Comité de Seguridad ISA Sección Central México

1+
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.