Integración de Seguridad en Procesos Industriales (SIL)

J. Román
InTech México Automatización,
Edición Abril  – Julio 2013.

En el entendido de que la seguridad en el entorno industrial se define Como la libertad desde niveles inaceptables de riesgo, SIL es una medición funcional para mantener en activo la producción de las diferentes empresas; además, es una garantía en seguridad, incluso un estándar internacional de mejores prácticas.

INTRODUCCIÓN

Para hacer referencia a la seguridad en sistemas instrumentados, primero es necesario aterrizar el riesgo que se tiene en las diferentes industrias y algunas de sus posibles soluciones y previsiones.

Es así que las actividades son peligrosas por: la naturaleza misma del trabajo; usan o generan gases/vapores/polvos combustibles; en el área de aplicación se genera presión o temperatura; el tipo de proceso es inestable durante su operación o reacción, y porque se maneja maquinaria.

De esta forma, aunado a condiciones no previstas, un “mal” diseño, una inadecuada ejecución del proyecto, una errónea selección de los componentes de la instalación y por baja calidad de los componentes, el riesgo se “incrementa”. No obstante, lo relacionado a la calidad de los materiales, tipo y selección de éstos, y otros aspectos en equipos, vuelven riesgosa la operación; el peligro se minimiza por medio de la implementación de prácticas correctas en la clasificación de controles de calidad estrictos, así como la aplicación de procedimientos de fabricación e instalación de acuerdo a recomendaciones reconocidas internacionalmente, NOMs.

En lo relacionado a condiciones originadas por la propia operación o por el proceso mismo, se desarrollan soluciones que involucran tanto hardware como software, para minimizar el riesgo inherente de la aplicación, tales como:

  • Equipos: PLC’s e instrumentación de Seguridad.
  • Técnicas: De protección en áreas clasificadas.
  • Métodos de ejecución: Montaje y localización de instrumentos.
  • Métodos de Análisis: Análisis de Riesgo.
  • Procedimientos: De implementación de la solución.

Respecto a la operación de procesos y/o maquinaria, para mantener un nivel de seguridad satisfactorio, se debe realizar: análisis, valoración y evaluación del riesgo. Asimismo, para determinar el nivel de seguridad a implementar, se requiere:

  • Procesos: SIL,
  • Manufactura: PL o Categoría.

 

Tablas: Festo

¿QUÉ QUIERE DECIR SIL?

Literalmente, su traducción es nivel de integración de seguridad; sin embargo, en la aplicación es un valor o la probabilidad de que una función específica opere exitosamente si ocurre una demanda o acción.

Los valores de SIL (1 a 4) son derivados del análisis de riesgo; mientras éste sea mayor, medidas confiables de reducción deben ser implementadas y en consecuencia la máxima confiabilidad de los componentes usados debe ser considerada.

REDUCCIÓN DE RIESGO NECESARIA

Para Pepperl-Fuchs, durante el análisis de riesgo se deben identificar los peligros existentes, después es necesario decidir si se requiere una reducción de cada riesgo descrito, y en caso afirmativo se cuantificará mediante el uso de métodos de análisis que obtengan resultados en forma de un requisito SIL.

Un requisito SIL bajo significa que sólo es necesaria una reducción de riesgo igualmente baja, mientras que uno más alto (por ejemplo nivel 3) exige un grado superior de reducción de riesgo. Existen varios procedimientos, normalmente asistidos por software para identificar riesgos y cuantificar cualquier reducción necesaria; el proceso de reconocimiento frecuentemente se realiza conjuntamente con el estudio del peligro e idoneidad de funcionamiento (Hazard and Operability Study, o HAZOP).

Entre los métodos normalmente utilizados para cuantificar la reducción de riesgo necesaria (evaluación SIL) se encuentran el gráfico de riesgo, el análisis de la capa de protección (Layer of Protection Analysis, o LOPA) y la matriz de riesgo.

GRÁFICA DE RIESGO

Tabla: Pepperl-Fuchs

IMPLEMENTACIÓN EN REDUCCIÓN DE RIESGO

El grado de reducción de riesgo que se consigue mediante el uso de equipos de protección depende del funcionamiento correcto de los mismos. Si es imposible que se produzca un fallo, se puede conseguir la eliminación total en cuestión. En ese caso, el riesgo residual sería nulo puesto que en la práctica es poco realista esperar una situación semejante, sólo se puede conseguir un grado limitado de reducción con equipo de protección efectivos. Una reducción de riesgo insuficiente (el SIL del equipo de protección es inferior al SIL obligatorio) puede producir un riesgo residual intolerable.

A su vez, una baja de riesgo excesiva (el SIL del equipo de protección es superior al SIL obligatorio) probablemente generará una carga de trabajo innecesariamente superior que no se justifica. La información sobre cómo debe diseñarse el equipo de protección para obtener un grado específico de reducción de riesgo (es decir, un SIL específico) se puede consultar en las determinaciones internacionales de EN 61511 Y VDI/VDE 2180.

Es sumamente importante preguntarse por qué falla el equipo de protección, ya que sus requisitos de diseño pueden derivarse de las respuestas obtenidas. Una investigación detallada pone de relieve que, en principio, existen dos tipos de fallos diferentes que pueden producir una avería en el equipo de protección: fallo sistemático y aleatorio. Es así que cuando se diseña un equipo de protección deben tenerse en cuenta adecuadamente la prevención de fallos, el control de éstos y la probabilidad para conseguir un grado específico de reducción de riesgo. Tener en cuenta únicamente la probabilidad no basta para cumplir un requisito SIL.

En realidad, el equipo de protección sólo puede conseguir un SIL específico cuando tanto la estructura (redundancia, diagnóstico, diseño a prueba de fallos) como la probabilidad de fallos (PFD/PFH) cumplen los requisitos estipulados en la norma del SIL correspondiente.

Además, para la implementación de reducción de riesgo debe utilizarse un sistema FSM. Sólo de esta manera se puede estar seguro que los fallos sistemáticos se prevendrán en la medida necesaria.

EVALUAR LA SEGURIDAD FUNCIONAL

Tanto el análisis de riesgo (requisito SIL) como el proceso de implementación de la medida de reducción deben evaluarse adecuadamente. Llegados a este punto, hay que hacer hincapié de forma explícita en que todo el ciclo de vida de seguridad, incluida la documentación preceptiva, se debe procesar en el sistema FSM, el cual se utiliza para: evitar fallos sistemáticos; así como para garantizar la identificación y auditoría de todas las actividades y los resultados (documentos, hardware, software) que afectan a la reducción de riesgo.

EJEMPLO DE UN ÍNDICE SIL

La industria química debe montarse otra planta de producción. Aquí, el procedimiento empleado para la fabricación determina su diseño, puesto que por principio, con la operación de una plataforma de dichas características puede originarse un peligro para las personas y el medio ambiente.

En este panorama deben considerarse los posibles riesgos y efectos y, dado el caso, hay que incorporarse al proyecto las medidas de protección adecuadas. Para contemplar los riesgos de seguridad que pueden originarse debido a la operaciónde la columna de separación, se realiza un análisis HAZOP (Hazard and Operability Study), y se integra el número mayor posible de los diferentes aspectos del riesgo de seguridad; la observación la realizan diversos expertos, tales como ingenieros químicos, de operación, en seguridad industrial, técnicos, personal operador y dirección de planta, etcétera.

Conjuntamente se realiza un análisis de peligros (observación de fallos) donde a partir de los diferentes puntos de vista y de éste se deducen las medidas de protección y de corrección necesarias. De este estudio resulta una observación de fallos, de la cual se representa aquí un extracto:

Como relevante para la seguridad se ha identificado el punto de medición de monitoreo de la presión en la cabeza de la columna (010) y el monitoreo de temperatura en el fondo de la columna (006). Se hizo especial hincapié en la presencia de una válvula de seguridad del monitoreo de presión. En combinación con el gráfico para el cálculo del índice SIL necesario resultan las correspondientes clasificaciones en la columna de separación para el monitoreo de presión y temperatura.

TIPOS DE ERRORES

En un sistema instrumentado de seguridad se diferencia entre errores sistemáticos y aleatorios. Para poder cumplir un nivel SIL exigido, deben considerarse independientemente entre sí los dos tipos de error.

Existen errores aleatorios: Son el resultado de averías del hardware y se originan durante el funcionamiento. Además pueden consistir, por ejemplo en cortocircuito, interrupción y deriva de valores de un componente, entre otros.

La probabilidad de los errores y, con ella, el valor mismo de fallo es calculable. Se miden para los diferentes componentes de hardware de SIS. Los resultados obtenidos a partir de este cálculo se expresan mediante el valor PFD (average probability of failure on demand) y constituyen la base de cálculo para la determinación del índice SIL.

Errores sistemáticos: todos los dispositivos suministrados contienen errores sistemáticos en el momento de la entrega. Típicamente son de desarrollo o en el diseño o en la configuración; constituyen ejemplos de los mismos los errores de software, un dimensionamiento incorrecto, un diseño incorrecto del instrumento de medida. Los errores de software de los dispositivos representan la mayor parte de los sistemáticos. La consideración básica de software sistemático es que los errores en la programación también pueden originar un fallo en el proceso.

Errores de causa común: unos errores sistemáticos especiales son los “de causa común”. Son causados por factores externos como perturbaciones electromagnéticas (CEM) u otros medioambientales, como por ejemplo la temperatura o las solicitaciones mecánicas. Además, repercuten simultáneamente sobre todos los componentes de un “Safety Instrumented System” (sistema instrumentado de seguridad).

Los errores sistemáticos deben evitarse adoptando medidas especiales durante la etapa de desarrollo. Forman parte de ellas, por ejemplo, los requisitos cualitativos que la norma lEC exige al proceso de desarrollo, al proceso de modificaciones y a la arquitectura de hardware/software del dispositivo.

Los fabricantes del dispositivo deben proporcionar los datos sobre la clasificación SIL en lo relativo a los errores sistemáticos. Por regla general, estos datos se incluyen en la declaración de conformidad de los distintos dispositivos. Dependiendo del SIL, los datos se proporcionan también por mediación de certificados de organismos independientes externos como el TÜV o certificaciones de empresas especializadas en ensayos como exida.

Estos datos no son valores para cálculos ulteriores sino que sólo proporcionan información sobre la clasificación SIL del dispositivo en lo relativo a los errores sistemáticos. Para poder satisfacer los requisitos exigidos en cuanto a errores sistemáticos para un SIL determinado (en caso de un SIL 3), debe dimensionarse convenientemente el SIS completo.

El modo de proceder más simple, en este caso, consiste en que todos los componentes tengan una clasificación SIL 3 para errores sistemáticos. Sin embargo, existe también la posibilidad de utilizar componentes SIL 2, si se han adoptado medidas que no permiten que se produzca un error sistemático en el nivel SIL 2. Si por ejemplo se han de utilizar instrumentos de medida de presión SIL 2 en un SIS SIL 3, deberá emplearse un software distinto del dispositivo.

Lo anterior se consigue, por ejemplo, empleando dos dispositivos distintos, a ser posible de distintos fabricantes. Puede considerarse también que hay redundancia diversificada cuando, en lugar de utilizar dispositivos distintos se emplean tecnologías distintas (siempre que sea posible), por ejemplo con un instrumento de medida de presión o de temperatura.

¿A QUIÉN AFECTA LA CLASIFICACIÓN SIL?

En instalaciones que deben cumplir condiciones técnicas de seguridad, las partes implicadas están afectadas por diferentes motivos:

  • Operadores de instalaciones,
  • Constructores de instalaciones,
  • Proveedores,
  • Aseguradoras, autoridades.

DISPOSITIVOS A EMPLEARSE CON LOS DIFERENTES SIL

Para poder alcanzar un nivel (SIL 1-4), el SIS completo debe cumplir los requisitos para fallos sistemáticos (especialmente el software) y fallos aleatorios (hardware); por consiguiente, el resultado del cálculo del SIS completo debe atenerse al SIL requerido. En la práctica, esto depende principalmente del diseño conceptual de la instalación o del circuito de medición. Así, en una instalación SIL 3 pueden emplearse también dispositivos SIL 2, mientras que con dispositivos SIL 1 no se cumplen generalmente los requisitos.

0
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.