Si decimos que un Sistema Instrumentado de Seguridad es tan fuerte como el más débil de sus componentes, debemos escoger el hardware que ofrezca las mejores prestaciones posibles.
Una de las características que definen un componente como “bueno”, en el entorno de la Seguridad Funcional, es la Fracción de Falla Segura (SFF: Safe Failure Fractión (IEC 61503-3: 2010 – 3.6.15)); que es definida como la porción de fallas seguras (detectadas o no por diagnósticos) del total de las fallas de un elemento. El término es una indicación de que tan bien ha sido diseñado un elemento (es decir, cuanto diagnóstico ha sido colocado en él).
Ecuación 1. Fracción de Falla Segura
(SFF)
Realizar una función de seguridad por un elemento puede ser una tarea difícil de alcanzar en términos de desempeño (SIL), por lo que el diseñador muchas veces recurre a la colocación de múltiples elementos, para realizar la misma tarea o función, a fin de incrementar los chances éxito. Esté es básicamente el concepto de Redundancia (IEC 61508-3: 2010 – 3.4.6).
Un subsistema es redundante (desde el punto de vista de seguridad) cuando, al fallar uno de los elementos, tiene al menos un elemento más que le permite seguir funcionando correctamente. La redundancia puede ser Idéntica: si los elementos son idénticos en cada característica, o puede ser Diversa: cuando los elementos son diferentes entre sí físicamente o de filosofía.
Para dar una guía sobre el uso adecuado de la redundancia (o la falta de ella) y evitar sobre estimar el valor que se le puede otorgar a las disposiciones de diseño de un solo elemento, que pudieran llegar a ser poco realistas (SFF, Ti, etc.), la normativa ha tomado en cuenta unas Restricciones de Arquitectura, donde se establece cuantas fallas puede tolerar un elemento para mantener un desempeño determinado (SIL). Estas restricciones vienen expresadas en términos de Tolerancia de Fallas por Hardware (HFT: Hardware Fault Tolerance (IEC 61508-2: 2010 – 7.4.4)). Es decir, cuantas fallas se pueden tolerar y aun poder seguir ofreciendo el mismo desempeño, como pueden observar es en realidad una medida de éxito para el SIS.
La Tolerancia de Falla por Hardware de cada elemento o subsistema puede ser determinada por la norma IEC 61508 o la norma IEC 61511.
HFT según IEC 61508
Si se decide seguir lo lineamientos de IEC 61508, la relación de HFT y SIL viene definida por el SFF del elemento o subsistema. En las tablas siguientes definen esta relación en función del tipo de dispositivo A (simple) o B (complejo).
Tabla
1. Tolerancia de Falla por Hardware. Dispositivos Tipo A. IEC 61508-2010
|
SFF |
Tolerancia |
||
|
0 |
1 |
2 |
|
|
< 60 % |
SIL 1 |
SIL 2 |
SIL 3 |
|
60 a 90 % |
SIL 2 |
SIL 3 |
SIL 4 |
|
90 % a 99 % |
SIL 3 |
SIL 4 |
SIL 4 |
|
≥ 99 % |
SIL 3 |
SIL 4 |
SIL 4 |
Tabla
2. Tolerancia de Falla por Hardware. Dispositivos Tipo B. IEC 61508-2010
|
SFF |
Tolerancia |
||
|
0 |
1 |
2 |
|
|
< 60 % |
No sepermite |
SIL 1 |
SIL 2 |
|
60 a 90 % |
SIL 1 |
SIL 2 |
SIL 3 |
|
90 % a 99% |
SIL 2 |
SIL 3 |
SIL 4 |
|
≥ 99 % |
SIL 3 |
SIL 4 |
SIL 4 |
HFT según IEC 61511
El mínimo HFT de una SIF para un SIL especifico de acuerdo con la norma IEC 61511 debe estar de acuerdo con la Tabla 3.
Tabla
3. Mínimos requerimientos de HFT de acuerdo con el SIL. IEC 61511-2016
|
SIL |
Mínimo HFT Requerido |
|
1 (Cualquier modo) |
0 |
|
2 (Modo Bajo demanda) |
0 |
|
2 (Modo continuo) |
1 |
|
3 (Alta demanda, o modo continuo) |
1 |
|
4 (Cualquier modo) |
2 |
Votación y Redundancia
Se dice que un SIS (o parte del mismo) es NooM, cuando tiene M elementos independientes, conectados de tal forma, que N elementos son necesarios para ejecutar la SIF. Donde,
N Expresa el número de votación
M expresa la redundancia
Desde el punto de vista de Seguridad no todas las arquitecturas NooM son redundantes. Por ejemplo, para una falla:
- 1oo2 es redundante (1 es necesario de 2 disponibles)
- 2oo2 no es redundante (2 son necesarios de 2 disponibles).
Una HFT = x significa que x+1 fallas peligrosas llevarán a la pérdida de la función de Seguridad.
Para NooM se define HFT=M-N, por ejemplo, para una arquitectura 2oo3, HFT=3-2=1, será capaz de tolerar una sola falla.
En forma análoga podría definirse la Tolerancia de Falla Seguras del Hardware como:
HFTs=N-1.
Donde un HFTs = y significa que se requieren y+1 fallas seguras para alterar la disponibilidad del proceso.
De igual manera, el HFTs de una arquitectura 2003 será, HFTs=2-1=1.
En la siguiente entrada del Blog, como el SIL es una cuestión de tiempo…
PONGA A PRUEBA SUS CONOCIMIENTOS.
Preguntas de esta entrada:
1- En la tabla indique, el número de votación, el número de redundancia, el HFT y HFTs de las siguientes arquitecturas NooM.
