Análisis del diseño y verificación de los sistemas instrumentados de seguridad

Estos riesgos exigen que las plantas adopten estrictos criterios de seguridad tanto en el diseño de instalaciones y equipos, como en la adopción de medidas de seguridad, medidas que se traducen en múltiples Capas de Protección, que trabajan en conjunto, con el objetivo de prevenir los accidentes y/o mitigar las consecuencias derivadas de los mismos.

Dichas capas de protección se dividen, principalmente, en dos grandes grupos:

- Capas de prevención, cuyo objetivo es prevenir posibles accidentes derivados de los riesgos inherentes a las instalaciones, como el Sistema de Control Básico de Procesos (BPCS) o los Sistemas Instrumentados de Seguridad (SIS).

- Capas de mitigación, que se instalan con el objetivo de mitigar las consecuencias derivadas de dichos accidentes como, por ejemplo, los Sistemas fuego-gas, la respuesta de planta ante una emergencia o la respuesta de la población ante una emergencia.

Los Sistemas Instrumentados de Seguridad (SIS) son los encargados de, una vez vulneradas las condiciones de operación seguras, llevar el proceso a lugar seguro. Dichos sistemas suelen estar constituidos, básicamente, por tres elementos (en la Figura 1 se muestra una posible configuración de estos SIS):

- Elemento sensor o grupo de sensores

- Convertidor lógico

- Actuador o elementos finales

Estos tres elementos funcionan en conjunto y actúan como última medida de prevención antes de que se produzca alguna situación de peligro.

Para una mejor comprensión se va a analizar el fallo del lazo de control de nivel en un botellón de proceso. En la Figura 2 se muestra la evolución normal de un suceso accidental, teniendo en cuenta las diferentes medidas de protección existentes.

Dicho control realizaría su función manteniendo el parámetro a controlar dentro de un rango normal de operación. Si este sistema fallara se activaría la alarma por alto nivel y se procedería a tomar las respectivas medidas por parte del operador para llevar el proceso de nuevo a su rango de operación normal. Si la alarma no se activara o el operador no llevara a cabo su función se produciría una nueva situación de peligro, donde no se dispone de más capas de prevención para evitar el posible accidente. Es ahí donde actuaría el Sistema Instrumentado de Seguridad, siendo la última capa de prevención, antes de que se produzca una situación de peligro, en la que sólo nos quedarían medidas de mitigación para salvaguardar la seguridad de los receptores vulnerables.

Esta exigencia se traduce en unos niveles de seguridad, denominados Niveles Íntegros de Seguridad (Índice SIL, Safety Integrity Level) específicos que van desde 1 hasta 4 (ver Tabla 1). En las normativas específicas sobre Seguridad Funcional existe una relación entre estos Índices SIL, la Probabilidad de Fallo en Demanda (PFD) y el Factor de Reducción de Riesgo (RRF) del Sistema Instrumentado. De esta manera se consigue reducir el riesgo a un nivel tolerable definido para cada instalación.

En la actualidad existen multitud de estándares relacionados con la Seguridad Funcional. Los más utilizados en materia de Sistemas Instrumentados de Seguridad, son:

Es una norma del “American National Standards Institute” en la que se establece una base para el diseño de SIS en la industria de proceso, incluyendo tecnología eléctrica, electrónica y electrónica programable. Establece, asimismo, cuales son los pasos en el ciclo de vida de un SIS desde su concepción inicial hasta el desmontaje del mismo. Está dirigida fundamentalmente al personal que participa en el desarrollo y fabricación de los SIS, en la instalación, en el comisionado y en las restantes fases del ciclo.

Es un estándar de la “International Electrotechnical Commission” en el que se establece una base para el uso de dispositivos eléctricos y/o electrónicos programables en el diseño de SIS en aplicaciones médicas, de transporte, en industria de proceso, etc. Establece, asimismo, cuales son los pasos en el ciclo de vida de un SIS desde su concepción inicial hasta el desmontaje del mismo. Está dirigida al personal involucrado en cualquier fase del proyecto desde el concepto hasta la explotación. Se encuentra publicada la correspondiente norma europea Norma UNE-EN 61508 equivalente a este estándar.

Es un estándar de la “International Electrotechnical Commission” en el que se establece una base para el uso de dispositivos eléctricos y/o electrónicos programables en el diseño de SIS en la industria de proceso. Establece, asimismo, cuáles son los pasos en el ciclo de vida de un SIS desde su concepción inicial hasta el desmontaje del mismo. Está dirigida fundamentalmente al usuario final de los sistemas de seguridad y constituye la aplicación del estándar IEC 61508 a la industria de procesos. Se encuentra publicada la correspondiente norma europea Norma UNE-EN 61511 equivalente a este estándar.

La vida de un Sistema Instrumentado de Seguridad se analiza como un ciclo, desde su concepción inicial hasta su desmantelamiento. Las etapas de este ciclo de vida son (Ver Figura 3):

- Diseño conceptual del proceso.

- Análisis de riesgos (por ejemplo, HAZOP).

- Cálculo del índice SIL.

- Desarrollo de las especificaciones de los requisitos de seguridad (SRS).

- Diseño conceptual del SIS y verificación del diseño.

- Diseño detallado del SIS.

- Instalación y comisionado.

- Operación y mantenimiento.

- Modificaciones.

- Desmantelamiento y retirada de servicio.

Una vez definido el listado de SIF (Safety Instrumented Function) que conforman el Sistema Instrumentado y calculado el Índice SIL correspondiente a cada una de ellas, se debe verificar que su diseño, configuración, arquitectura e instalación está conforme con este SIL objetivo, para cumplir con los requisitos de seguridad funcional.

Esto se consigue mediante el cálculo de la Probabilidad de Fallo en Demanda (PFD) del Sistema Instrumentado de Seguridad. Para ello, se calcula la PFD para cada elemento (sensores, lógica y actuadores) que forma parte del SIS y, mediante álgebra de Boole, se calcula la PFD del sistema global, para la arquitectura elegida. A esta PFD le correspondería un SIL determinado (ver Tabla 1), que debe coincidir con el SIL establecido en la etapa previa de cálculo del mismo.

El cálculo de la PFD de cada elemento del SIS depende de una serie de factores:

- Tasa de fallos (λ), es el número de fallo del elemento por unidad de tiempo.

- Tasa de autodiagnósticos (C), es el porcentaje de fallos que serían detectados en pruebas autodiagnósticas.

- Frecuencia del intervalo de pruebas (T), es el intervalo de tiempo en el que se comprueba que el elemento funciona correctamente.

- MTTR (Mean Time To Repair), es el tiempo medio que se necesita para reparar el sistema una vez que ha fallado.

En la configuración de la arquitectura del SIS se debe tener en cuenta que su objetivo principal es llevar el proceso a un estado seguro cuando se vulneran unas condiciones predeterminadas. Por ello, un elemento importante es la independencia de este sistema con cualquier otra capa de protección que impida su funcionamiento o que pueda provocar el fallo de éste, reduciendo así la probabilidad de que el sistema de control y las funciones de seguridad no estén disponibles al mismo tiempo.

En este aspecto, las Normativas IEC 61508/615011 son muy exigentes y sólo permiten en casos especiales la dependencia del Sistema Instrumentado de Seguridad con el Sistema de Control Básico de Proceso, BPCS. En estos casos se debe fundamentar y demostrar que no se compromete la integridad de las funciones de seguridad.

En cambio, la normativa ANSI/ISA-S84, es menos restrictiva en este aspecto:

- Para sensores de campo con SIL 1 puede usarse el mismo sensor para el BPCS y el SIS, siempre que prevalezca éste último sobre el BPCS. Para elementos con SIL 2 o SIL 3, deben de ser completamente independientes.

- Para lógicas de actuación, si el SIL es 1 se puede usar la misma para el BPCS y el SIS. Para lógicas con SIL 2 también se puede usar la misma pero siempre que prevalezca la función del SIS sobre la del BPCS. Para SIL 3 se requiere independencia completa.

- Para elementos finales con SIL 1 o SIL 2 se puede usar el mismo, siempre que prevalezca la acción del SIS sobre la del BPCS. En cambio para SIL 3 se requiere que sean independientes.

Además de la independencia del Sistema Instrumentado de Seguridad con otras capas de protección, si nos regimos por los estándares IEC 61508/61511, éstos establecen restricciones en la arquitectura del SIS. En dichos estándares vienen reflejados unos requisitos mínimos de tolerancia a los defectos del hardware de los elementos que conforman el SIS en función del índice SIL y la Fracción de Fallo Seguro (SFF, Safety Failure Fraction) que es la proporción de la tasa de fallos aleatorios de hardware de un dispositivo que da lugar a un fallo seguro o a un fallo peligro detectado. Esta relación se muestra en las Tablas 2, 3, 4 y 5, en función del tipo de elemento (sensor, lógica o actuador) y de la normativa que adoptemos (IEC 61518 o IEC 61511).

Así, si en el desarrollo de la arquitectura de un SIS hemos elegido un elemento sensor para configurar un SIL 2 y optamos por basarnos en la normativa IEC-61511, necesitaríamos utilizar una tolerancia mínima a los defectos del hardware de 1, por lo que nos llevaría a una votación de 1oo2, 2oo3, etc. Por tanto, la conclusión es que con un único sensor no alcanzaríamos el objetivo buscado de SIL 2. En el caso de que optemos por guiarnos por la normativa IEC-61508 y nuestro sensor sea, por ejemplo, mecánico de tipo A, debemos de comprobar que rango de SFF posee para clasificar su nivel SIL. Ello nos puede conducir a que si su SFF está comprendida entre el 60% y 90% con un único sensor se podría alcanzar el nivel de seguridad de SIL 2.

Todo esto nos muestra que la configuración de SIS no sólo es elegir los elementos en función de su probabilidad de fallo en demanda, sino que debemos de cerciorarnos que cumplimos con las restricciones recogidas en las normativas IEC-61508 o IEC-61511. A la hora de elegir los elementos que van a formar parte del SIS debemos de exigir al fabricante el certificado de conformidad con respecto a las normativas IEC-61508 e IEC-61511.

Con todo esto, una vez configurado y verificado el Sistema Instrumentado de Seguridad, se procederá a cumplimentar el resto de las etapas del ciclo de vida de este sistema.

La presencia de elementos que puedan constituir un riesgo de accidente en cualquier instalación industrial requiere la adopción de medidas de seguridad con criterios exigentes para, cuando se vulneren condiciones predeterminadas, poder llevar el proceso a un estado de seguridad tanto, para las personas, como para el medio ambiente o bienes materiales. Esto se traduce en la necesidad de implementar sistemas especiales, independientes de cualquier otro sistema, para que en caso de fallo del resto de capas de prevención, pueda actuar y llevar el proceso a un estado seguro.

El diseño de estos sistemas requiere medidas especiales de configuración, como la independencia o la redundancia de los elementos, en función del SIL requerido, y se rigen con estrictos criterios recogidos en las diferentes normativas de seguridad funcional. Los estándares IEC 61508/61511 establecen restricciones en la arquitectura del SIS que hay que tener en cuenta a la hora del diseño y verificación para poder así cumplir con el SIL establecido.

Como conclusión final cabe destacar que no sólo se trata de comprar elementos muy fiables con bajas tasas de probabilidad de fallo en demanda, sino que debemos comprobar las múltiples restricciones que nos imponen las normativas IEC-61508 o IEC-61511 para el adecuado cumplimiento de la arquitectura de los Sistemas Instrumentados de Seguridad.