admincsf

¿Se debe Considerar el Sistema de Detección de Fuego y Gas como una Función Instrumentada de Seguridad?

Sistemas de Seguridad con Requerimientos Especiales / /
Para responder esta pregunta es necesario definir el Sistema de Detección de Fuego y Gas (SDFyG). Un SDFyG es aquel diseñado e instalado para proteger contra los riesgos de fuga de gas (combustible, inflamable o tóxico) y fuego dentro de áreas monitoreadas; capaz de detectar el evento peligroso en su etapa incipiente, permitiendo tomar medidas inmediatas para su control y mitigación. La efectividad de este sistema, según el reporte técnico ISA TR84.00.07 y el Handbook de SFPE, se basa en tres (3) factores principales:
  • Cobertura de detección: Es la probabilidad que tiene el sistema de poder detectar el evento peligroso específico para el cual fue diseñado. Este factor es comúnmente descartado en las Funciones Instrumentadas de Seguridad (SIF), debido a que se da por sentado que el sensor tiene la capacidad de detectar la variable que está monitoreando (p.e. presión, temperatura, flujo, etc.), y solo fallaría en caso de problemas con la tubería de conexión, lo que usualmente es poco probable.
  • Disponibilidad de seguridad: Es la probabilidad de que el sistema actúe durante una demanda y está asociada al hardware. Se calcula de forma similar a la Probabilidad de Falla en Demanda Promedio (PFDavg) de una SIF, pudiendo utilizar las técnicas presentadas en el reporte técnico ISA TR84.00.02 considerando las tasas de falla aleatorias de los elementos sensores, controlador de lógica y los elementos finales; así como, las arquitecturas utilizadas para cada grupo de elementos, períodos de prueba, entre otros.
  • Efectividad de Mitigación: Es la probabilidad que tiene el sistema de reducir exitosamente las consecuencias del evento peligroso específico para el cual fue diseñado.
De conformidad con la norma IEC 61511: 2016, podemos decir que una SIF es aquella diseñada para alcanzar un Nivel de Integridad de Seguridad (SIL), con la intención de alcanzar y mantener un estado seguro para el proceso y trabajar en conjunto con otras capas de protección para la reducción de un riesgo específico.
En base a lo anterior, para que una Función de Seguridad (FS) del SDFyG pueda considerarse como una SIF, el mismo debe garantizar la detección del evento peligroso, alcanzar y mantener un estado seguro del proceso, estar definida para un riesgo en específico, tener asociado un SIL y, adicionalmente, debe poder definirse la Especificación de los Requisitos de Seguridad (SRS) (tiempo de respuesta, fallos de causa común, requisitos para las prioridades / las inhibiciones / los desvíos, entre otros); tal como lo establece la norma IEC 61511: 2016.
Los puntos que realmente marcan la diferencia entre una FS del SDFyG y una SIF están referidas a la capacidad de detección y la efectividad para reducir el riesgo, debido a que en el caso de un SDFyG existen muchos factores que afectan estas características; por lo que, generalmente es difícil garantizar que un SDFyG alcance y mantenga un estado seguro del proceso, así como generar una reducción de riesgo equivalente al menos de SIL 1 (10 – 100).
Entre los factores que afectan la posibilidad de que el evento peligroso se encuentre dentro del área de detección de un SDFyG, están:
  • Cambios en la dirección y velocidad del viento.
  • Puntos de ignición inesperados.
  • Objetos que desvíen el escape de material u obstaculicen el “campo de detección” del sensor.
  • Cantidad suficiente o insuficiente del material asociado a la fuga (tamaño de la nube o de la llama).
  • Inadecuado posicionamiento del sensor (distancia, altura, dirección e inclinación)
Algunos de los factores que influyen en la efectividad reducir el riesgo (o de la mitigación en este caso) son:
  • Falla del sistema automático de extinción de incendios.
  • Efectividad del método de extinción de incendios (polvo químico, agua, espuma, etc.).
  • Ocurrencia de un evento peligroso mayor al esperado.
  • Falla de la extinción manual de respaldo.
  • Afectación y vulnerabilidad del personal durante el combate del incendio.
  • Falla de la ventilación posterior a la extinción del incendio.
Para ilustrar lo antes dicho, presentamos un árbol de eventos con los factores que afectan el rendimiento de sistemas de detección de fuego y gas, considerando valores optimistas para la mayoría de los casos de detección, disponibilidad de seguridad y mitigación:
Tal y como se puede observar en el ejemplo, a pesar de usar equipos certificados y tener una disponibilidad de seguridad equivalente a SIL 2 (0,99 – 0,999), comúnmente obtenidos en el mercado, el factor de reducción de riesgos alcanzado por la FS del SDFyG es ligeramente mayor a 5, siendo menor que la banda inferior de SIL 1 (10 – 100). Este ejemplo refuerza lo antes dicho, es poco probable para la mayoría de los casos poder considerar las FS de los SDFyG como SIF, ya que es necesario que las mismas posean un nivel de desempeño elevado, el cual de acuerdo con los cálculos es una cobertura de detección y efectividad de mitigación superior a 0,90.
Sin embargo, existen excepciones en los cuales se podría considerar los SDFyG como SIFs, por ejemplo:
Una caseta de pintura, la cual impide la disipación de los gases inflamables y tóxicos, pudiendo alcanzar concentraciones potencialmente peligrosas dentro de la caseta. Una de las posibles acciones para proteger al personal contra este peligro, es tener un control de acceso, y alarma al detectarse altas concentraciones de gases inflamable y/o tóxicos. Es posible asumir que la cobertura de detección es cercana a 100% por encontrarse dentro de un área cerrada, y al realizar esta acción garantizaría que el personal no se vea afectado, siempre y cuando los dispositivos asociados al SDFyG funcionen de manera apropiada al momento de la demanda.
De forma general podemos decir que las funciones de seguridad asociadas a los SDFyG no deben ser consideradas como SIFs, salvo contadas excepciones, ya que los mismos no cumplen con todos los requisitos que exige la norma IEC 61511: 2016, siendo los más determinantes el no poder alcanzar y mantener el estado seguro del proceso; y la capacidad de detectar el evento peligroso específico para el cual se supone ha sido diseñado, lo que probablemente impedirá que alcance una reducción del riesgo en al menos un factor de 10 (SIL 1).
Se recomienda que los SDFyG tengan un Ciclo de Vida de Seguridad (CVS), dentro del cual el diseño sea realizado con un enfoque basado en desempeño. El usuario final debe garantizar que los mismos sean operados y mantenidos de forma que la reducción de riesgo que le ha sido asignada permanezca vigente durante toda su vida útil.

¿Se debe Considerar el Sistema de Detección de Fuego y Gas como una Función Instrumentada de Seguridad? Leer más »

Probabilidad de Falla en Demanda Arquitectura 1oo2

Diseño / /

Las ecuaciones para el cálculo de la Probabilidad de Falla en Demanda promedio (PFDAVG) para diferentes arquitecturas están descritas en la norma IEC 61508: 2010 parte 6, mediante la metodología de Bloques de Confiabilidad.

En la Figura 1 se muestra el diagrama de bloques de confiabilidad para una arquitectura 1oo2, la cual consta de dos canales, en donde es necesario que ambos elementos estén fallados al mismo tiempo para que ocurra la pérdida de la función de seguridad en caso de demanda.

Figura 1. Arquitectura 1oo2.

La ecuación para determinar la PDFAVG para una arquitectura 1oo2, de acuerdo a lo indicado en la norma 61508: 2010, es la siguiente:

donde,

  • βD. Factor de Falla de Causa Común
  • MTTR. Tiempo Medio de Reparación
  • MRT. Tiempo Medio de Restauración
  • λDD. Tasa de Falla Peligrosa Detectada
  •  λDU, Tasa de Falla Peligrosa no Detectada
  • tCE. Tiempo medio de inactividad equivalente de un canal.
  • tGE. Tiempo medio de inactividad equivalente de todos los canales.

(http://csf-andreinacabeza.blogspot.com/2016/07/bloques-de-confiabilidad-y-pfdavg-de.html)

Para establecer como funciona el modelado de esta arquitectura usando esta ecuación, es necesario entender cuando una arquitectura de un subsistema no está disponible para realizar su función. La arquitectura 1oo2, no estará disponible debido a alguna falla de causa común que saque de servicio ambos elementos, o que ambos elementos (A y B) no estén disponibles por alguna razón, por ejemplo, de que el elemento A esté siendo reparado mientras el elemento B esté fallado por alguna falla oculta.

Dividiendo la ecuación en 3 partes para su análisis, la arquitectura no estará disponible si:

1.                 Una falla común es detectada y está siendo reparada durante un tiempo MTTR (Tiempo Medio para Reparar), correspondiente a 

2.                 Mientras se realiza la Prueba de Inspección (Ti) se revela una falla oculta, y es necesario reparar durante un tiempo determinado (MRT – Tiempo Medio para Reparar), correspondiente a

3.              Ó por alguna combinación de que un elemento falle cuando el otro no esté disponible, que está representado por ende la ecuación por:

En este último punto están representadas las fallas no comunes (individuales), y asumiendo que el modo común de falla (β) es muy bajo (aproximadamente 0), las tasas de fallas se pueden escribir de la siguiente manera (a modo ilustrativo):

Lo que de acuerdo con la Figura 1, para una arquitectura 1oo2, significa que:

      • Ambos elementos fallan de manera peligrosa detectada en forma simultánea (lDD2).
      • Un elemento falla de manera peligrosa detectada y otro de manera no detectada en forma simultánea (2lDDlDU).
      • Ambos elementos fallan de manera peligrosa detectada en forma simultánea (lDU2).

 

Probabilidad de Falla en Demanda Arquitectura 1oo2 Leer más »

Índices de Riesgo en la Industria de los Procesos

Análisis de Peligros y Riesgos / /
Todas las organizaciones enfrentan una variedad de riesgos que pueden afectar alcanzar sus objetivos. La gestión del riesgo ayuda a la toma de decisiones, al tener en consideración la incertidumbre y la posibilidad de eventos futuros o circunstancias y sus efectos sobre los objetivos planteados.
En la Industria de los Procesos, la evaluación del riesgo es una parte de la gestión del riesgo, la cual provee un proceso estructurado que identifica como son afectados los objetivos, y analiza el riesgo en términos de consecuencias y su probabilidad de ocurrencia, antes de la toma de decisiones sobre la necesidad de un mayor esfuerzo. La evaluación del riesgo trata de responder las siguientes preguntas: 
  • ¿Qué puede pasar y por qué?    
  • ¿Cuáles son las consecuencias?
  • ¿Cuál es la probabilidad de ocurrencia?
  • ¿Existen factores que puedan mitigar las consecuencias o reducir la probabilidad del riesgo?
  • ¿Es el nivel de riesgo aceptable o requiere mayor esfuerzo?
Para poder establecer el nivel de riesgo, el mismo debe estar asociado con un impacto o afectación, es decir, el nivel de riesgo a personas, operadores, ambiente, equipos, entre otros. Una manera de simplificar el uso del riesgo y su compresión es la utilización de los Índices de Riesgo, los cuales suelen ser usados para poder comparar e identificar posibles medidas de reducción y control de riesgo a través de la evaluación del mismo, en caso de ser necesario.
A continuación, presentamos los Índices de Riesgo que son comúnmente utilizados en la Industria de los Procesos:

Riesgo Individual (IR – Individual Risk, IRPA – Individual Risk per Annum): Es el riesgo de fatalidad que experimenta una persona de forma individual en un periodo de tiempo determinado. Este índice de riesgo depende de la porción del tiempo que una persona permanece en cada área, así como la vulnerabilidad que tiene a los efectos de los posibles escenarios que puedan ocurrir en cada área. Normalmente se utiliza para cuantificar el riesgo asociado a fatalidades y es expresado en fatalidades por año.
En donde,
 =                   Fracción del tiempo
general que un miembro del grupo k se encuentre en el área de interés
 =     Probabilidad de que un miembro
del grupo k se encuentre en la ubicación i
 =           Frecuencia de ocurrencia
del evento j
 =      Probabilidad de fatalidad en la
ubicación i debido a la consecuencia del evento peligroso j
 =       Probabilidad de las condiciones
atmosféricas requeridas para producir la consecuencia del evento peligroso j
 =      Probabilidad de que el evento
peligroso se dirija hacia la ubicación i
Supongamos que un operador pasa el 30% de su tiempo en oficinas, 60% en planta y el 10% restante en el comedor, esto es considerando que el mismo solo se encuentra en las facilidades 2000 horas al año (22,83%). Se estima en base a cálculos previos de LSIR, que el riesgo en las oficinas es 1×10-6año-1, en planta es de 8×10-6año-1 y en el comedor 3 x 10-7 año-1, el resultante del IRPA para este tipo de operador con esa distribución y características específicas es de:
Con este resultado podemos establecer en base a los criterios de tolerabilidad de la empresa si el nivel de riesgo individual del Operador es Tolerable o Intolerable, si es necesario la aplicación de Medidas de Reducción de Riesgos, y donde se podrían enfocar los esfuerzos de dichas medidas.

Riesgo Social (SR – Societal Risk): Es el riesgo que experimenta un grupo de personas (trabajadores y publico/terceros) expuestos a las consecuencias derivadas de eventos peligrosos. El Riesgo Social puede ser representado gráficamente a través de la curva F-N, en donde se presenta la relación entre la frecuencia acumulativa y el número de fatalidades. El riesgo social es usado para medir el riesgo colectivo al cual están expuestas un grupo de personas en áreas que podrían estar expuestas a eventos peligrosos, e indica la frecuencia que un número especifico de personas sufrirán un nivel especifico de daño (p.e. muerte). El Riesgo Social para trabajadores es también conocido como Riesgo Agregado de acuerdo con la norma API 752.
Tomemos como ejemplo la siguiente curva FN de riesgo agregado (riesgo social a operadores), donde se puede observar que el número máximo de fatalidades esperadas es de seis (6) personas sin importar el tipo de operador, y la frecuencia acumulativa no sobrepasa el criterio de riesgo tolerable o mínimo establecido de ejemplo. En caso de que el riesgo acumulado sobrepasara el nivel de riesgo tolerable, se debería analizar posibles medidas de reducción
de riesgos.
Figura 1. Riesgo Agregado de Ejemplo
Esta representación gráfica de riesgo social no es posible utilizarla para valores individuales, ya que en la misma se encuentran todos los grupos de operadores. Es posible realizar una curva FN para cada tipo de operador, y aunque esta representación serviría el análisis de cada grupo de operadores de forma social e individual, perdería el propósito como riesgo social al no considerar todos los operadores de forma conjunta.

Pérdida de Vidas Potenciales (PLL – Potential Loss of Life): Es una medida de Riesgo Social y representa el número de fatalidades que se esperan puedan ocurrir cada año, promediado en periodos largos. Este índice puede ser usado en contexto de un evento o durante un periodo de exposición.
En donde,
           Frecuencia anual del escenario
           Numero de fatalidades esperadas para el escenario
              Número total de escenarios
               Número total de tipos de consecuencias
El PLL es utilizado como entrada en la toma de decisiones sobre medidas de reducción de riesgos. Como podemos observar en la siguiente tabla, se determinó a manera de ejemplo.
Tabla 1. Valores PLL de Ejemplo
Medida de Reducción de Riesgos – MRR
PLL de la Unidad
(fatalidades)
PLL al implementar la MRR (fatalidades)
MRR 1
3 x 10-5 año-1
1,5 x 10-5 año-1
MRR 2
2,0 x 10-5 año-1
MRR 3
2,3 x 10-5 año-1

Tasa de Accidentes Fatales (FAR – Fatal Accident Rate): Se define como el número de fatalidades esperado en 100 millones de horas de exposición. El tiempo de exposición a veces es ilustrado como 1000 personas que trabajan 2000 horas al año durante 50 años.
En donde,
=            Pérdida de Vidas Potenciales
Este índice normalmente se utiliza con fines comparativos, utilizando datos históricos de la empresa o internacionales. En la siguiente tabla se presenta a manera de ejemplo valores FAR de Inglaterra:
Tabla 2. Valores FAR de Ejemplo
Industria o Actividad
FAR
1974 – 1978
1987 – 1990
Pesca profunda
140
42
Producción de Petróleo y Gas costa afuera
82
62
Minería de Carbón
10,5
7,3
Ferroviaria
9
4,8
Construcción
7,5
5
Agricultura
5,5
3,7
Química e industrias aliadas
4,3
1,2
Industria de manufactura
1,2
Vehicular
0,75
0,6
Industria textil
0,25
0,05

Costo Implícito de Evitar una Fatalidad (ICAF – Implied Cost of Avoiding a Fatality): Representa una estimación del beneficio de evitar un daño o fatalidad. Este índice es importante en los análisis costo beneficio riesgo.
En donde,
=                Costo de implementación de medida ($)
=                Tiempo de vida estimado de la Planta (años)
=          Diferencial de Pérdida de Vidas Potenciales con la implementación de las medidas
El ICAF puede ser utilizado para tomar decisión sobre medidas de reducción de riesgos, por ejemplo, asumamos una planta que tiene un tiempo de vida estimado de 20 años, cuál sería el ICAF de una medida de reducción de riesgo a tomar en base a su costo de implementación.
Tabla 3. Valores ICAF de ejemplo
Costo de la medida de reducción de riesgos
($)
ICAF
($/fatalidad evitada)
1.000,0
154.000,0
10.000,0
1.540.000,0
100.000,0
15.400.000,0
Utilizando los resultados obtenidos podemos decidir si la medida a implementar es Costo-Efectiva o puede ser descartada, tomando como base criterios de la empresa o internacionales.

Riesgo Geográfico o Riesgo Especifico por Ubicación (GR – Geographic Risk, LSIR – Location Specific Individual Risk): Es la representación gráfica del riesgo individual de forma geográfica, considerando una permanencia de 24 horas al día, los 365 días al año.
En la siguiente figura se puede observar a manera de ejemplo, un plano con la representación gráfica de diferentes curvas de iso-riesgo de fatalidad.
Figura 2. Riesgo Geográfico de Fatalidad de Ejemplo
A continuación, se presenta los índices comúnmente utilizados en base a la fase del proyecto:
Figura 3. Índices de Riesgo para los Diferentes Fases de Ingeniería
(basado en Rausand).
Referencias:
  1.  International Electrotechnical Commission – IEC/ISO 31010 – Risk management – Risk assessment techniques. 2009.
  2. Jan-Erik Vinnem. Offshore Risk Assessment – Principles, Modelling and Applications of QRA Studies. Edition 3 2014.
  3. Center for Chemical Process safety – CCPS. Guidelines for Chemical Process Quantitative Risk Analysis. Edition 2 2000.
  4.  UK Offshore Operators Association – UKOOA. Fire and Explosion Guidance. Edition 2 2003.
  5. I. L. Johansen, M. Rausand. Risk Metrics: Interpretation and Choice.
  6. Health and Safety Executive – HSE. Andrew Franks. Simplified Approach to Estimating Individual Risk. 2017.

Índices de Riesgo en la Industria de los Procesos Leer más »

Elementos del Escenario Peligroso -Introducción a las Condiciones Habilitadoras

Análisis de Peligros y Riesgos, Asignación del SIL / /
Partiendo de la publicación anterior Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuenciacomenzaré una serie de publicaciones para tratar con más detalle cada uno de los elementos que intervienen en el desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras, las Capas de Protección (Preventivas / Mitigación) y los Modificadores Condicionantes, (ver Figura 1).

Figura 1. Desarrollo de un Escenario Peligroso
 
Una Condición Habilitadora representa un estado temporal del proceso, que permite el desarrollo de un Escenario Peligroso.
Durante la operación normal del proceso, en los escenarios que intervienen las Condiciones Habilitadoras, el camino desde el Evento Iniciador hacia el Evento Tope se encuentra inhabilitado por propiedades, condiciones y características inherentes al proceso y al entorno (ver Figura 2), hasta que se presenta o activa la Condición Habilitadora, permitiendo que el proceso entre en un estado temporal, durante el cual, se habilita el camino del Evento Iniciador al Evento Tope (ver Figura 3), haciendo posible el desarrollo del Escenario Peligroso.
Figura 2. Condición Habilitadora Ausente o Desactivada
 
Figura 3. Condición Habilitadora Presente o Activada

El hecho de que el desarrollo del Escenario Peligroso solo sea posible cuando la Condición Habilitadora se encuentre presente o activa, no quiere decir que se trate de un Evento Iniciador, ya que ella no inicia la propagación del escenario, solo lo permite.
 
Tampoco se trata de una Capa de Protección, ya que su presencia o activación es inherente al proceso y al entorno. Es decir, no se puede “desactivar o eliminar la Condición Habilitadora” para evitar el desarrollo del Escenario Peligroso.
 
En su lugar, la Condición Habilitadora puede ser tratada como un requisito para el desarrollo del Escenario Peligroso, ya que cualquiera que sea la frecuencia de ocurrencia del Evento Iniciador asumida, el escenario no llegará al Evento Tope si el proceso no se encuentra dentro del periodo de tiempo, durante el cual, la Condición Habilitadora se encuentra presente o activa.

Por lo antes mencionado, se dice que el uso de la Condición Habilitadora durante la estimación del riesgo permite ajustar la frecuencia de ocurrencia del escenario, con el fin de obtener resultados representativos.

Sin embargo, las Condiciones Habilitadoras no deben ser consideradas en la estimación del riesgo cuando no se tiene suficiente conocimiento o información, no son parte de un sistema de gestión, o cuando su uso no es coherente con los criterios de la empresa.
Existen varios tipos de Condiciones Habilitadoras (de los cuales trataré en las próximas publicaciones), entre ellos se encuentran:
  • Periodo de tiempo de exposición al riesgo 
  • Riesgo estacional 
  • Riesgo del estado del proceso (factor de uso) 
  • Procesos discontinuos 
  • Fallas de equipos que solo pueden alcanzar el evento de pérdida si el proceso se encuentra en una configuración o estado particular 
  • Instalaciones operadas sólo una parte del año (factor de uso) 
  • Procesos químicos que incluyen una familia de químicos reactivos u otras variables relacionadas con la composición o el proceso.

En la publicación anterior Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuencia se encuentran los conceptos de Peligro, Evento Iniciador, Evento Tope, Consecuencia, Escenario peligroso, entre otros.

Jazmile K. Zelaya I.
Ingeniero de Seguridad Funcional
 

Elementos del Escenario Peligroso -Introducción a las Condiciones Habilitadoras Leer más »

Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuencia

Análisis de Peligros y Riesgos / /
En las plantas de procesos existen Peligros, representados por propiedades físicas o químicas (radiactividad, volatilidad, inflamabilidad, toxicidad, etc.) que tienen el potencial de causar daño a personas, ambiente y activos. Los peligros son intrínsecos de la instalación, del proceso, del ambiente y de los materiales involucrados, por ende un peligro no puede ser eliminado y se hace necesario tomar medidas para mantenerlo bajo control.
 
Ante la presencia de un peligro, pueden ocurrir eventos que desencadenen una secuencia de acontecimientos que resulten en una consecuencia no deseada, estos son conocidos como Eventos Iniciadores, entre ellos se encuentran; las fallas de instrumentos, las acciones erróneas del operador, fallas mecánicas, etc. El par Evento Iniciador – Consecuencia se denomina Escenario Peligroso (ver Figura 1), un ejemplo de un escenario peligroso es la falla un lazo de control de nivel con derrame de producto contaminante al ambiente.
 
Figura1. Escenario Peligroso
 
Con el fin de determinar si el riesgo que genera el escenario peligroso se considera aceptable, según los criterios de la empresa, es necesario estimar el Riesgo del Escenario, el cual es la combinación de la frecuencia de ocurrencia del evento iniciador (veces/año) y la severidad o magnitud de sus consecuencias (lesiones, daño al ambiente, pérdidas económicas, etc.). Por ejemplo; 5 hectáreas contaminadas /año.
 
Para reducir el Riesgo del Escenario existen mecanismo, llamados Capas de Protección, que dependiendo de su diseño, son capaces de prevenir que la ocurrencia del evento iniciador llegue al Evento Tope (Capas de Protección Preventivas) o mitigar la consecuencia del escenario (Capas de Protección de Mitigación).
 
El Evento Tope representa el acontecimiento en el cual se pierde el control o la posibilidad de prevenir la propagación de la secuencia de acontecimientos hasta la consecuencia. Por lo general, en la industria de procesos el Evento Tope se refiere a una pérdida de contención o a la pérdida de control sobre el peligro. Ver Figura 2.
Figura 2. Capas de Protección Independientes
 
La estimación del riesgo puede ser ajustada a las condiciones del proceso, mediante las Condiciones Habilitadoras y los Modificadores Condicionantes.
 
Las Condiciones Habilitadoras son operaciones o condiciones que, solo cuando están presentes o activas, hacen posible que un evento iniciador proceda hacia el Evento Tope. Mientras que, los Modificadores Condicionantes representan condiciones del proceso y de la instalación que modifican la severidad de la consecuencia del escenario.
 
Estos factores, al igual que las capas de protección, aplican en diferentes etapas del desarrollo del escenario, como se muestra en la Figura 3.
 
 
Figura 3. Condiciones Habilitadoras y Modificadores Condicionantes
 
En la próxima entrega se tratan las condiciones habilitadoras.

Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuencia Leer más »

Bloques de Confiabilidad y PFDavg de acuerdo a la Norma IEC 61508

Diseño / /
En la norma IEC 61508 (2010) parte 6, se describen ecuaciones para el cálculo de la Probabilidad de Falla en Demanda promedio de distintas arquitecturas mediante la metodología de Bloques de Confiabilidad. En la Figura 1 se muestra el diagrama de bloques de confiabilidad para la arquitectura 1oo1, la cual consiste en un solo canal, donde cualquier falla peligrosa conduce a la pérdida de la función de seguridad cuando exista una demanda.
 
Figura 1. Diagrama
de Bloques, Arquitectura 1oo1
 
Debido a que la tasa de falla peligrosa (λD) viene dada por la suma de la tasa de falla peligrosa detectada por diagnóstico (λDD) y la tasa de falla peligrosa no detectada (λDU), el diagrama de bloques de confiabilidad puede ser expresado como el mostrado en la figura 2.
Figura 2. Diagrama de Bloques de Confiabilidad
PFDavg1oo1. Fuente: IEC 61508 (2010)
Así, la tasa de falla peligrosa (λDde un canal puede ser dividida en dos bloques en un arreglo en
serie representado por las tasas de fallas λDD y λDU, Esto permite calcular  la Probabilidad de Falla en Demanda promedio del bloque sumando la
probabilidad de falla equivalente de cada componente. Por lo que de acuerdo a la norma IEC 61508 – 6, la Probabilidad de Falla en Demanda
promedio de esta arquitectura es:
PFDavg = (λDU+λDD)tce
tce:   Tiempo medio de inactividad.
λDU: Tasa de falla peligrosa no detectada.
λDD: Tasa de falla peligrosa detectada.
 
La porción de tiempo de inactividad de la función (tce) puede entenderse de la ecuación de la siguiente manera (Ver figura 3): 1. El sistema está inactivo debido a una falla peligrosa no detectada (λDU), hasta que esta condición sea revelada mediante la prueba de periodica (Ti) y adicionalmente debe hacerse la reparación respectiva luego de la detección (MRT) ó 2. El sistema esté en reparación (MTTR) debido a que se encontró un problema en las pruebas de diagnósticos, asociado ésto a la tasa de falla peligrosa detectada (λDD), Por lo que se calcula mediante la siguiente ecuación:
tce=(λDU/λD)*(Ti/2+MRT)+(λDD/λD)*MTTR
Figura 3. Interpretación del Tiempo de Inactividad del Sistema
Referencias
 
Norma IEC 1078 (1991). Analysis techniques for dependability – Realibility Block Diagram method
Norma IEC 61508 – 6 (2010). Guidelines on the application of parts 2 and 3

Bloques de Confiabilidad y PFDavg de acuerdo a la Norma IEC 61508 Leer más »