Hablar de Seguridad Funcional nos remite, en forma casi inmediata, a tratar los conceptos relacionados con las 3 “S”, Sistema Instrumentado de Seguridad (SIS), Funciones Instrumentadas de Seguridad (SIF) y Nivel de Integridad de Seguridad (SIL), que, a pesar de ser conceptos básicos, usualmente suelen ser confundidos y no empleados con claridad.
Podríamos ponerlo en perspectiva de la siguiente manera (para ir de lo general a lo específico), el SIS es quien soporta, contiene o donde están implementadas todas las SIF; y la SIF es la función que dará la prestación de seguridad al proceso, en función del desempeño establecido a través del SIL. Entendiendo que el SIL es una característica de la SIF y no del SIS, por lo que uno debe determinar el SIL de cada SIF del SIS.
La relación entre el SIS, las SIF y su SIL correspondiente es mostrada en la figura 1. Este ejemplo nos presenta un SIS que aloja tres SIF diferentes, dos de ellas con requerimiento de desempeño SIL 1 y una SIL2. Donde todas comparten
un componente común, que es el controlador de seguridad.
Figura 1. Relación SIS, SIF y SIL
Ahora bien, detallemos cada término.
SIS: Sistema instrumentado usado para realizar una o más Funciones Instrumentadas de Seguridad (IEC 61511-1: 2016 – 3.2.67).
El SIS, por lo general, está compuesto por varias Funciones Instrumentadas de Seguridad (SIF) y todos los servicios comunes y necesarios para su funcionamiento. En el mismo se prestan los servicios básicos de soporte común para alojarlas, es decir, el alojamiento físico (por ejemplo, chasis para las tarjetas de E/S o alojamiento del procesador común), alojamiento lógico (por ejemplo, alojamiento del programa de aplicación), servicio común como alimentación eléctrica, etc.
SIF: Función de seguridad a ser implementada por un Sistema Instrumentado de Seguridad (SIS) (IEC 61511-1: 2016 – 3.2.66).
La SIF es considerada un sistema formado por al menos tres (3) sub-sistemas: el sub-sistema de detección (compuesto a su vez por un conjunto de uno o más elementos de medición o detección), el sub-sistema lógico (comúnmente un Controlador Lógico Programable de Seguridad, pero que puede estar compuesto por uno o más dispositivos lógicos de seguridad, inclusive no programables) y el elemento final (que puede estar compuesto por una o más válvulas, motores, etc. y sus accesorios). En resumen, debe existir, quien mide la variable, quien ejecuta la lógica y quien actúa para llevar al proceso a un estado seguro.
Una adecuada descripción de la SIF debe indicar:
- ¿Qué detecta? (Detección)
- ¿Qué actúa? (Actuación)
- ¿Cuál es la relación entre la detección y la actuación? (Lógica)
- ¿Cuánto tiempo está disponible para actuar? (Tiempo de Actuación)
- ¿Cuál es el requerimiento de reducción de riesgo asociada? (FRR/SIL)
- ¿Cuál es el estado seguro del proceso?
Un mal ejemplo de descripción de una SIF sería: La función de seguridad de presión del separador deberá evitar la sobre presión de las líneas de baja presión hacia la tranquilla de aguas residuales.
Un buen ejemplo, seria: Medir la presión en el separador de entrada XYZ con el transmisor PZT-001 y si la presión excede los 250 PSI, cerrar la válvula de bloqueo de entrada del separador XV-001 durante los 3 segundos siguientes a la detección de esta condición y así evitar la entrada de más material al separador. El nivel de integridad requerido es SIL2.
Pero podemos encontrar más de un tipo de SIF según su modo de operación:
- Las Funciones Instrumentadas de Seguridad en Modo Demanda: Son aquellas en las cuales un evento de peligro se presenta solo si en la existencia de una demanda de proceso la SIF se encuentra en falla o la misma falla en el momento de tratar de llevar al proceso al estado seguro. Pueden ser de dos tipos:
- Función Instrumentada de Seguridad Modo Bajo Demanda: Modo de operación donde la SIF actúa en demanda para llevar al proceso a su estado seguro y donde la frecuencia de la demanda no es mayor a una vez por año (IEC 61511-1: 2016 – 3.2.39.a).
- Función Instrumentada de Seguridad Modo Alta Demanda: Modo de operación donde la SIF actúa en demanda para llevar al proceso a su estado seguro y donde la frecuencia de la demanda es mayor a una vez por año (IEC 61511-1: 2016 – 3.2.39.b).
- Función Instrumentada de Seguridad Modo Continuo: Modo de operación donde la SIF efectúa un control continuo para llevar al proceso a su estado seguro (IEC 61511-1: 2016 – 3.2.39.c). En caso de un fallo peligroso de la SIF y la inacción de alguna otra capa de protección el evento de peligro se presentará de forma inmediata. La falla peligrosa de la SIF es en si es la demanda del proceso ya que hace funciones de control y de seguridad al mismo tiempo.
A cada SIF se le debe asignar un Nivel de Integridad de Seguridad (SIL), en relación con otras capas de protección que participan en la reducción del mismo riesgo. Esta es una característica única de la SIF, es decir, solo ella posee SIL, no el instrumento, no el proceso, no la planta, no el controlador. Solo la SIF posee un SIL determinado.
SIL: Valor discreto de 1 a 4, que define los requerimientos de integridad de seguridad que deben ser alcanzados por cada SIF ejecutada por el SIS (IEC 61511-1: 2016 – 3.2.69).
La integridad de seguridad comprende la integridad de seguridad del hardware y la integridad de seguridad sistemática. El valor 1 a 4 define el orden de magnitud de la reducción de riesgo que provee la SIF. El nivel 4 tiene el nivel más elevado de integridad de seguridad e indica una reducción de riesgo del orden de 4 ceros (más de 10.000); la integridad de seguridad del nivel 1 tiene el más bajo e indica una reducción de riesgo del orden de 1 cero (más de 10).
La meta de desempeño dependerá del modo de operación de la SIF, para modo bajo demanda se usarán metas basadas en la Probabilidad de la Falla en Demanda Promedio de la SIF (PFDavg), siguiendo la tabla 1. Para los modos de operación alta demanda y continuo se usarán metas basadas en la tasa de falla peligrosa por hora de la SIF (PFH), siguiendo la tabla 2.
Tabla 1. Nivel de Integridad de
Seguridad (Modo Bajo Demanda)
Nivel de Integridad de Seguridad |
Probabilidad de Falla en Demanda |
Reducción de Riesgo Requerida |
4 |
≥10−5 a <10−4 |
>10.000 a ≤100.000 |
3 |
≥10−4 a <10−3 |
>1.000 a ≤10.000 |
2 |
≥10−3 a <10−2 |
>100 a ≤1.000 |
1 |
≥10−2 a <10−1 |
>10 a ≤100 |
Tabla 2. Nivel
de Integridad de Seguridad (Modo Continuo y Alta demanda)
Nivel de Integridad de Seguridad |
Frecuencia media de fallos |
4 |
≥10−9 a <10−8 |
3 |
≥10−8 a <10−7 |
2 |
≥10−7 a <10−6 |
1 |
≥10−6 a <10−5 |
En siguiente entrada del Blog, trataremos los conceptos de Redundancia y Fracción de Falla Segura y Restricciones de Arquitectura……
PONGA A PRUEBAS SUS CONOCIMEINTOS.
Preguntas de esta entrada:
1- El SIL 4 puede ser usado en la industria de los procesos:
a. Si
b. No
c. Depende del nivel de peligro de la instalación
2- Una buena definición de una SIF debe responder las siguientes interrogantes:
a. ¿Quién sensa?, ¿Quien actúa?, ¿Cuál es la relación lógica?, ¿Cuál es el SIL?, ¿Cuál es el tiempo para actuar?, ¿Cuál es el estado seguro del Proceso?
b. ¿Cuál es el transmisor / Switch?, ¿Cuál es el PLC de Seguridad?, ¿Cuál es la Válvula o elemento final?
c. ¿Cuál es la Matriz Causa y Efecto?