En la industria de procesos los Interlocks, Funciones de Seguridad, Funciones Instrumentadas de Seguridad (SIF) y Permisivos son utilizados en algunos de los controles empleados para evitar eventos peligrosos que representan un riesgo para la seguridad; sin embargo, es común que las personas tiendan a confundir estos términos como sinónimos. Este artículo está destinado a aclarar, tanto su significado en el marco de la seguridad funcional como la relación entre los mismos.
Comencemos mostrando algunas de las definiciones asociadas al término Interlock:
- Función que detecta una condición fuera de límites, anormal o una secuencia incorrecta y detiene una acción adicional o inicia una acción correctiva (Guidelines for Engineering Design for Process Safety [modified from «interlock system»]).
- Función que inicia una o varias acciones predefinidas en respuesta a una condición específica (CCPS-Guidelines for Safe and Reliable Instrumented ProtectiveSystem).
Cuando llevamos estas definiciones a la industria de procesos, nos referimos a un Interlock para describir una función que, al detectar una o varias condiciones anormales (desviación del proceso o de control), ejecuta una o varias acciones para evitar que un evento ponga en peligro a un equipo, sistema o proceso (según sean definidos).
En seguridad funcional, la normativa ANSI/ISA-84.01-1996 sólo utilizaba como referencia el término Interlock para facilitar la comprensión de los nuevos términos introducidos en la misma, por ejemplo:
- Cláusula 3.1.53 – Otros términos utilizados para el Sistemas Instrumentados de Seguridad (SIS) incluyen Sistema de Parada de Emergencia (ESD, ESS), Sistema de Parada de Seguridad (SSD) y Sistema de Interlock de Seguridad.
- Cláusula 7.2.3 – El SIS puede contener uno o más Interlocks o funciones de seguridad.
Posteriormente, este término fue rechazado por el Panel de Normas de la ISA 84, siendo remplazado en las normativas actuales (ISA 61511 /IEC61511 /IEC 61508) por “Función de Seguridad”, definiéndolo como:
- Función que debe ser implementada por una o más capas de protección, cuyo objetivo es lograr o mantener un estado seguro para el proceso, con respecto a un evento peligroso específico” (61511-2016, 3.2.65).
- “Función que debe ser implementada por un sistema E/E/PE relacionado con la seguridad u otras medidas de reducción de riesgos, cuyo objetivo es lograr o mantener un estado seguro para el equipo bajo control (EUC), con respecto a un evento peligroso específico” (IEC 61508-2010, 3.5.1).
Sin embargo, se debe aclarar que a pesar que el término Interlock fue remplazado en la normativa por “Función de Seguridad”, no necesariamente significan lo mismo. Un Interlock sólo puede estar representado por funciones activas (sistema mecánico, de control o instrumentado) y puede ser definido para proteger un sistema, equipo o proceso. En cambio, una Función de Seguridad puede ser representada por diferentes capas de protección, ya sean funciones activas (una válvula de alivio o una función automatizada) o elementos pasivos (dique de contención o aislamiento térmico), en función de proteger un escenario peligroso especifico.
En caso de que una Función de Seguridad sea asignada al Sistema Instrumentado de Seguridad (SIS) durante el Análisis de Peligros y Riesgos (PHA), la función se convierte en una Función Instrumentada de Seguridad (SIF). En este momento, el sector de la industria de procesos define el término SIF como:
-
Función de seguridad con un nivel de integridad de seguridad especificado que es necesario para lograr la seguridad funcional (ANSI / ISA-84.00.01-2004-1, cláusula 3.2.71).
-
Función de seguridad a ser implementada por un Sistema Instrumentado de Seguridad (SIS) (IEC 61511-1: 2016 – 3.2.66).
Para verlo de manera clara, se puede describir una SIF como una función relacionada con la seguridad que tiene por objeto prevenir o mitigar un peligro de proceso específico, mediante el uso de instrumentos y controles como son sensor(es), solucionador(es) lógico(s) y elemento(s) final(es). Cada función asociada a la seguridad y definida como una SIF debe cumplir con las siguientes características:
-
Debe ser diseñada para proteger de un escenario peligroso específico.
-
Debe actuar en un tiempo específico, dentro del tiempo de seguridad del proceso.
-
Deben asegurar que se lleve al proceso a su estado seguro, por lo que a menudo actúan de forma automática.
-
Deber pertenecer al Sistema Instrumentado de Seguridad.
-
Cada SIF debe tener asignado un Nivel de Integridad de Seguridad (SIL). Este es una característica única de la SIF, es decir, solo ella posee SIL, no el instrumento, no el proceso, no la planta, no el controlador. Solo la SIF posee un SIL determinado.
Como vemos, una Función de Seguridad que pertenece al SIS es representada por una SIF, y una SIF puede ser representada por un Interlock, siempre y cuando cumpla con todas las características de una SIF. A su vez, un Interlock puede ser representado por una o más SIF, o por una Función de Seguridad que sea automatizada.
Adicionalmente, otro término que es comúnmente usado en la industria es el de Permisivos, algunas de sus definiciones son:
-
Concesión de autorización para hacer algo (Collins Concise English Dictionary).
-
Condición dentro de una secuencia lógica que debe cumplirse antes de que se permita que la secuencia pase a la siguiente fase (ANSI / ISA-84.01-1996, Cláusula 3.1.36).
El Permisivo es normalmente referido a una parte de la lógica que requiere que se cumpla una condición especifica de permitir una acción de proceso adicional y se usan a menudo para reducir la posibilidad de que un error humano cause un evento peligroso. Por ejemplo: cierre de una válvula específica antes de abrir otra o manejo del nivel de operación normal de un tanque, antes de la activación del sistema de bombeo.
Para cerrar, describiremos un ejemplo que nos muestre de manera simple la relación entre estos cuatro términos.
Figura 1. Sistemas de Bombeo de Crudo
provenientes del tanque de almacenamiento TK-51 a través de las bombas
centrifugas P-51A/B.
provenientes del tanque de almacenamiento TK-51 a través de las bombas
centrifugas P-51A/B.
Comencemos identificando el Interlock encargado de proteger el sistema de bombeo, el cual puede estar relacionado a una serie de desviaciones y acciones, por ejemplo:
Desviaciones:
-
Bajo nivel en el tanque TK-51, a través del transmisor de nivel LZT-52.
-
Baja presión de succión de las bombas P-51A/B, a través del transmisor de presión PZT-52.
-
Alta presión de descarga de las bombas P-51A/B, a través del transmisor de presión PZT-53.
Acciones:
-
Apagado de las bombas P-51A/B.
-
Cierre de la válvula XV-52.
-
Alarma de activación del Interlock I en el BPCS.
En este caso, como mencionamos anteriormente, el interlock fue definido para la seguridad del sistema, es decir, la protección del activo (Bomba P-51A/B); sin embargo, se puede dar el caso de que sea definido para la protección de un escenario peligroso específico, al igual que se realiza con las funciones de seguridad.
Para definir las funciones de seguridad, el primer paso es identificar los escenarios de riesgo, y para cada escenario peligroso se identifican las funciones de seguridad.
Por ejemplo, para el escenario “Posible daño mecánico a las bombas de crudo P-51A/B producido por un evento de muy bajo nivel en el tanque TK-51” se hace necesario proteger las bombas P-51A/B; por lo que, se puede definir una función de seguridad de “Protección por muy bajo nivel bombas de crudo P-51A/B”. La misma puede ser implementada por una SIF que tenga el objetivo de detener la operación de la bomba P-51A o P-51B al detectarse muy bajo nivel en el tanque TK-01, a través del LZT-52, en un valor de tiempo determinado y que tenga asociado un SIL para cumplir con el factor de reducción de riesgo requerido.
Adicionalmente, el permisivo en este sistema puede ser representado por una función lógica que evite el arranque de las bombas cuando el interruptor de posición de cierre (ZZSL-52) de la válvula XV-52 se encuentre activo.
Cuando trabajamos en seguridad funcional, es importante conocer la diferencia entre estos términos así evitaremos errores que comprometerían el desarrollo del Ciclo de Vida de Seguridad del SIS; por ejemplo, una SIF definida incorrectamente implicaría una Especificaciones de los Requerimientos de Seguridad (SRS) débil, y este error se propagaría a toda la fase de Diseño e Ingeniería del SIS.
Responda las preguntas de comprobación aquí:
Para el caso de las bombas (motores eléctricos) u otros equipos rotativos, el elemento final de control es un dispositivo eléctrico, como el contactor, disyuntor, breaker componente esencial del arrancador eléctrico; no obstante que estos dispositivos generalmente carecen de la asignación SIL que exija la SIF, entonces cabe preguntar: ¿Dispositivos eléctricos cuyos estándares de fabricación no especifiquen un nivel SIL degradarían la SIF?. Gracias de antemano por su aclaración.
Un dispositivos que pertenece a la SIF no necesariamente debe estar certificado por la normativa IEC-61508 para considerarlo apto para trabajar con un SIL específico, esto solo nos facilita el trabajo. Un dispositivo puede ser utilizado bajo la denominación de "Probados en uso" para la cual usted deber tener el registro del desempeño de ese dispositivo (tasas de falla asociadas), trabajando en la misma condiciones y con el mismo propósito, estos datos se utilizan para realizar la cuantificación de las fallas aleatorias (verificación del SIL) y de esta manera determinar si el dispositivo le sirve para trabajar en el SIL definido por la SIF. Por último, en el caso de dispositivos eléctricos (por ejemplo, los réles) que han sido utilizado por muchos años en Sistemas de Parada de Emergencia existe mucha información ya estandarizadas del desempeño esperado por este tipo de dispositivos.