En el post anterior, se explicaron las restricciones de arquitectura para una SIF, de acuerdo con la Ruta 1H de la norma IEC 61508, basada en la Fracción de Falla Segura (Tasas de Falla Segura y Peligrosas) de los elementos de las SIF y los tipos de dispositivos (Tipo A y Tipo B). Sin embargo, cuando la SIF está operando y sus instrumentos no poseen un certificado del fabricante que indique las tasas de falla y su SFF, es difícil darle crédito por la Ruta 1H, por lo que, en estos casos, se usa la Ruta 2H.
Las características principales de esta ruta son:
•Es usada para los dispositivos bajo el concepto de Prior in Use.
•Está basada en la retroalimentación de los datos de las tasas de falla de los dispositivos de campo que son usados en una aplicaciones similares y entornos similares, y debe ser evaluada de acuerdo con:
–La cantidad de datos recopilados.
–El juicio de expertos.
–Y, cuando sea necesario, pruebas específicas.
•Se requiere un sistema de recopilación de datos de alta calidad de acuerdo con estándares internacionales, por ejemplo, IEC 60300-3-2 o ISO 14224.
•No toma en cuenta la SFF.
•Tiene una sola tabla para los dispositivos Tipo A y Tipo B.
En la tabla 1, se muestra un resumen del mínimo de HFT requerido, de acuerdo con Ruta 2H de la norma IEC 61508, en su cláusula 7.4.4.3.
Tabla 1. Ruta 2H. IEC 61508
SIL
Mínimo HFT Requerido
1 (Cualquier modo)
0
2 (Modo Bajo Demanda)
0
2 (Alta demanda, o modo continuo) *
1
3 (Cualquier modo) *
1
4 (Cualquier modo) *
2
* Sólo para elementos tipo A, si el HFT escogido resulta en una arquitectura que desmejora la seguridad del proceso, se puede:
–Reducir el HFT, justificando y documentando la reducción de la arquitectura y la desmejora de la seguridad argumentada.
–Si el HFT = 0, se debe proporcionar evidencia de que los modos de falla peligrosa pueden ser excluidos.
Para determinar el SIL que puede alcanzar una Función Instrumentada de Seguridad (SIF) que opera en modo bajo demanda, hay que tomar en cuenta tres variables:
La Probabilidad de falla en Demanda Promedio (PFDavg: Probability of Failre on Demand Average).
La Tolerancia de Falla por Hardware (HFT: Hardware Fault Tolerance) y;
La Capacidad Sistemática (SC: Sistematic Capability).
En las publicaciones anteriores, se explicó cómo se determina la PFDavg para arquitecturas 1oo1 y 1oo2 y, por lo tanto, qué SIL puede alcanzar una SIF por esta vía; ahora trataremos de las restricciones que impone el HFT sobre el SIL alcanzado de acuerdo con la norma IEC 61508.
La norma IEC 61508 establece el SIL más alto que se le puede otorgar a una SIF de acuerdo con la arquitectura de votación de sus subsistemas mediante dos definiciones del HFT o rutas:
La Ruta 1H: Basada en la Fracción de Falla Segura de los componentes, y;
La Ruta 2H: Basada en la confiabilidad de los componentes (probado en uso).
En este post, nos enfocaremos en la Ruta 1H. Según la Ruta 1H, la relación de HFT y SIL viene definida por el SFF del elemento o subsistema. En las tablas siguientes definen esta relación en función del tipo de dispositivo A (simple) o B (complejo).
Tabla 1. Tolerancia de Falla por Hardware. Dispositivos Tipo A. IEC 61508-2010
SFF
Tolerancia de falla de Hardware (Hardware Fault Tolerance)
0
1
2
< 60 %
SIL 1
SIL 2
SIL 3
60a90%
SIL 2
SIL 3
SIL 4
90 % a99 %
SIL 3
SIL 4
SIL 4
≥99%
SIL 3
SIL 4
SIL 4
Tabla 2. Tolerancia de Falla por Hardware. Dispositivos Tipo B. IEC 61508-2010
SFF
Tolerancia de falla de Hardware (Hardware Fault Tolerance)
0
1
2
< 60 %
No se permite
SIL 1
SIL 2
60 a 90 %
SIL 1
SIL 2
SIL 3
90 % a 99 %
SIL 2
SIL 3
SIL 4
≥ 99 %
SIL 3
SIL 4
SIL 4
El SFF de un elemento dado, está establecido por la relación de las tasas de fallas que son seguras (pueden ser detectadas), y viene dada por la ecuación 1.
Ecuación 1:
Siendo:
: Tasa de Falla Segura
: Tasa de Falla Segura Detectada
: Tasa de Falla Total
Una vez que se tiene el máximo SIL permitido para un elemento, de acuerdo con la Ruta 1H de la norma IEC 61508, se puede dar el caso que se tengan elementos en serie o paralelo con distintos SIL permitidos, de ser así, para determinar el máximo SIL permitido para el subsistema (arreglo) se deben seguir unas reglas (IEC 61508-2: 7.4.4.2.3 y 7.4.4.2.4):
Si se tienen elementos en serie, el máximo SIL que se puede reclamar para ese subsistema es el determinado por el de menor SIL. (Ver ejemplo 1)
Si se tienen elementos en paralelo, el máximo SIL que se puede reclamar es el del mayor más uno (1). (Ver ejemplo 2)
Ejemplo 1:
Si se tienen 3 elementos en serie: A, B y C, y de acuerdo con las tablas de la norma IEC 61508 para el HFT, el máximo SIL permitido de cada elemento es SIL 1, 3 y 1 respectivamente, como se ve en la Figura 1, el máximo SIL permitido para este tipo de subsistema es de SIL 1, independientemente de la PFDavg alcanzada, como se muestra en la Figura 2.
Figura 1. Arquitectura en Serie.
Figura 2. Arquitectura en Serie. Restringido por Arquitectura.
Ejemplo 2:
Se tienen dos elementos A y B como se observa en la Figura 3, con máximos SIL permitido de SIL 1 cada uno, si están en paralelo (arquitectura 1oo2), pueden alcanzar hasta un SIL 2.
Figura 3. Arquitectura en Paralelo
Figura 4. Arquitectura en Paralelo.
La Ruta 2H, y las restricciones de capacidad sistemática (Sistematic Capability), serán tratadas en el próximo Post.
Las ecuaciones para el cálculo de la Probabilidad de Falla en Demanda promedio (PFDAVG) para diferentes arquitecturas están descritas en la norma IEC 61508: 2010 parte 6, mediante la metodología de Bloques de Confiabilidad.
En la Figura 1 se muestra el diagrama de bloques de confiabilidad para una arquitectura 1oo2, la cual consta de dos canales, en donde es necesario que ambos elementos estén fallados al mismo tiempo para que ocurra la pérdida de la función de seguridad en caso de demanda.
Figura 1. Arquitectura 1oo2.
La ecuación para determinar la PDFAVG para una arquitectura 1oo2, de acuerdo a lo indicado en la norma 61508: 2010, es la siguiente:
donde,
βD. Factor de Falla de Causa Común
MTTR. Tiempo Medio de Reparación
MRT. Tiempo Medio de Restauración
λDD. Tasa de Falla Peligrosa Detectada
λDU, Tasa de Falla Peligrosa no Detectada
tCE. Tiempo medio de inactividad equivalente de un canal.
tGE. Tiempo medio de inactividad equivalente de todos los canales.
Para establecer como funciona el modelado de esta arquitectura usando esta ecuación, es necesario entender cuando una arquitectura de un subsistema no está disponible para realizar su función. La arquitectura 1oo2, no estará disponible debido a alguna falla de causa común que saque de servicio ambos elementos, o que ambos elementos (A y B) no estén disponibles por alguna razón, por ejemplo, de que el elemento A esté siendo reparado mientras el elemento B esté fallado por alguna falla oculta.
Dividiendo la ecuación en 3 partes para su análisis, la arquitectura no estará disponible si:
1.Una falla común es detectada y está siendo reparada durante un tiempo MTTR (Tiempo Medio para Reparar), correspondiente a
2.Mientras se realiza la Prueba de Inspección (Ti) se revela una falla oculta, y es necesario reparar durante un tiempo determinado (MRT – Tiempo Medio para Reparar), correspondiente a
3.Ó por alguna combinación de que un elemento falle cuando el otro no esté disponible, que está representado por ende la ecuación por:
En este último punto están representadas las fallas no comunes (individuales), y asumiendo que el modo común de falla (β) es muy bajo (aproximadamente 0), las tasas de fallas se pueden escribir de la siguiente manera (a modo ilustrativo):
Lo que de acuerdo con la Figura 1, para una arquitectura 1oo2, significa que:
Ambos elementos fallan de manera peligrosa detectada en forma simultánea (lDD2).
Un elemento falla de manera peligrosa detectada y otro de manera no detectada en forma simultánea (2lDDlDU).
Ambos elementos fallan de manera peligrosa detectada en forma simultánea (lDU2).
En la norma IEC 61508 (2010) parte 6, se describen ecuaciones para el cálculo de la Probabilidad de Falla en Demanda promedio de distintas arquitecturas mediante la metodología de Bloques de Confiabilidad. En la Figura 1 se muestra el diagrama de bloques de confiabilidad para la arquitectura 1oo1, la cual consiste en un solo canal, donde cualquier falla peligrosa conduce a la pérdida de la función de seguridad cuando exista una demanda.
Figura 1. Diagrama
de Bloques, Arquitectura 1oo1
Debido a que la tasa de falla peligrosa (λD) viene dada por la suma de la tasa de falla peligrosa detectada por diagnóstico (λDD) y la tasa de falla peligrosa no detectada (λDU), el diagrama de bloques de confiabilidad puede ser expresado como el mostrado en la figura 2.
Figura 2. Diagrama de Bloques de Confiabilidad
PFDavg1oo1. Fuente: IEC 61508 (2010)
Así, la tasa de falla peligrosa (λD) de un canal puede ser dividida en dos bloques en un arreglo en
serie representado por las tasas de fallas λDD y λDU, Esto permite calcular la Probabilidad de Falla en Demanda promedio del bloque sumando la
probabilidad de falla equivalente de cada componente. Por lo que de acuerdo a la norma IEC 61508 – 6, la Probabilidad de Falla en Demanda
promedio de esta arquitectura es:
PFDavg = (λDU+λDD)tce
tce: Tiempo medio de inactividad.
λDU: Tasa de falla peligrosa no detectada.
λDD: Tasa de falla peligrosa detectada.
La porción de tiempo de inactividad de la función (tce) puede entenderse de la ecuación de la siguiente manera (Ver figura 3): 1. El sistema está inactivo debido a una falla peligrosa no detectada (λDU), hasta que esta condición sea revelada mediante la prueba de periodica (Ti) y adicionalmente debe hacerse la reparación respectiva luego de la detección (MRT) ó 2. El sistema esté en reparación (MTTR) debido a que se encontró un problema en las pruebas de diagnósticos, asociado ésto a la tasa de falla peligrosa detectada (λDD), Por lo que se calcula mediante la siguiente ecuación:
tce=(λDU/λD)*(Ti/2+MRT)+(λDD/λD)*MTTR
Figura 3. Interpretación del Tiempo de Inactividad del Sistema