La palabra Tiempo está íntimamente ligada a la Seguridad Funcional que una Función Instrumentada de Seguridad (SIF) provee. En esta entrada, y sin ánimos de hacer alarde de complejas fórmulas matemáticas, expondré la relación de esta palabra con los diferentes aspectos que rodean la Seguridad Funcional.
Lo primero que debemos entender es la efectividad. Si queremos que una SIF haga su trabajo en forma efectiva, debemos asegurar que la misma sea capaz de ejecutar su tarea antes de que el escenario peligroso se consolide (transformándose en un accidente). Para esto, desde el
inicio del diseño de la función, debemos tener en cuenta el Tiempo de Seguridad del Proceso (PST: Process Safety Time). Si no somos capaces de asegurar que la función lleve al proceso al estado seguro y lo mantenga allí en por lo menos la mitad del PST, no es posible ejecutar la tarea de la seguridad por ese medio y será mejor buscar una opción distinta. Entonces,
inicio del diseño de la función, debemos tener en cuenta el Tiempo de Seguridad del Proceso (PST: Process Safety Time). Si no somos capaces de asegurar que la función lleve al proceso al estado seguro y lo mantenga allí en por lo menos la mitad del PST, no es posible ejecutar la tarea de la seguridad por ese medio y será mejor buscar una opción distinta. Entonces,
Calcular el Tiempo de Actuación de la función de seguridad es de suma importancia. En la figura 1 se muestra la relación entre el Tiempo de Seguridad del Proceso y el Tiempo de Actuación de la SIF. Nota para el lector ¿Cuántas veces se ha detenido a calcular la velocidad de cierre de la válvula de bloqueo respecto a las necesidades de seguridad del proceso?
Figura 1. Tiempo de Seguridad del Proceso y Tiempo de Actuación de la SIF.
Hablemos ahora de la forma en que la SIF provee seguridad. Una vez que la SIF haya sido diseñada e instalada correctamente, es necesario que esté disponible para hacer su trabajo. Ahora bien, ¿qué cosas pueden pasar para que la función no esté disponible? Veamos:
1- Que la SIF esté en By-pass. Dependiendo del nivel de redundancia (y si no se toman las previsiones establecidas en las normativas durante ese tiempo), la colocación en By-pass de la SIF pudiera dejar a la instalación sin la reducción de riesgo necesaria. Lo cierto es que la escogencia del Tiempo del By-pass (TD: Test Duration) durante los cálculos de verificación del SIL de la SIF deben ser estimados según las políticas de la instalación y reflejar las practicas reales de la misma (¿cuántas veces al año y por cuánto tiempo estima que la SIF estará en By-pass?, ¿por qué razones?). Aunque el By-pass descrito acá es principalmente para efectos de mantenimiento, no debe descartarse que el By-pass puede ser operacional (por ejemplo, necesario para el arranque de una instalación) en cuyo caso también debe ser tomado en cuenta. La figura 2 muestra el efecto del Tiempo del By-pass (TD) sobre la disponibilidad de la SIF. Nota para el lector ¿Cuántas veces en una SIF con un sensor sin redundancia que ha sido colocado en By-pass, tomó previsiones para que la seguridad que brindaba esa SIF la provea otro medio (por ejemplo, un operador de planta apoyado por otro sensor)?
Figura 2. Efecto del TD Sobre la Disponibilidad de la SIF.
2- Que la SIF esté en reparación. Nuevamente, dependiendo del nivel de redundancia, la reparación de algún elemento de la SIF pudiera dejar a la instalación sin la reducción de riesgo necesaria mientras la misma se está realizando. El Tiempo Medio para Reparar (MRT: Mean Repair Time) implica tanto la reparación en sí, como la obtención de los repuestos y herramientas para realizarla. Esta última por lo general es subestimada, haciendo que los cálculos de verificación del SIL de la SIF sean irreales. Este tiempo también debe ser estimado según las políticas de la instalación y reflejar las practicas reales de la misma. Un MRT de 8 horas para una falla que amerite desmontar una válvula de bloqueo (que implica detener el proceso), en muchos casos no parece muy adecuado. Adicionalmente, se debe tomar en cuenta el tiempo para detectar cual es la falla, que se incluye en el Tiempo Medio para Restaurar (MTTR: Mean Time to Restoration). En la figura 3 se muestra el efecto de las reparaciones sobre la disponibilidad de la SIF. Nota para el lector ¿Cuánto tiempo le lleva realizar una reparación promedio de un elemento de una SIF en su Instalación?
Figura 3. Efecto de las Reparaciones (MTTR y MRT) sobre la Disponibilidad de la SIF.
3- Que la SIF esté fallada en forma peligrosa detectable por diagnóstico. Si la falla fue detectada mediante los diagnósticos de alguno de los elementos de la SIF se debe tomar en cuenta el Tiempo de Intervalo del Diagnostico Automático (TIA: Automatic Test Interval), ya que eso determinará lo que tardará el sistema en detectar la falla para realizar la notificación. Mientras eso sucede, la SIF posiblemente estará incapacitada de realizar su función. En la figura 4 se muestra como el diagnóstico y la subsecuente reparación afectan la disponibilidad de la SIF. Nota para el lector ¿Pueden las Pruebas de Recorrido Parcial (PST: Partial Stroke Test) considerarse para la estimación del TIA en su instalación?
Figura 4. Efecto del Diagnóstico (TIA) sobre la Disponibilidad de la SIF.
4- Que la SIF esté fallada en forma peligrosa no detectable por diagnóstico. La lógica en este caso es la siguiente, si la SIF está fallada en forma que no existe un diagnostico capaz de evidenciar esa falla, entonces la SIF no está disponible para ofrecer seguridad y nadie puede darse cuenta de ello a menos que se pruebe. Es decir, la única forma de revelar las fallas peligrosas ocultas es mediante las pruebas periódicas que se realizan según el Tiempo de Inspección (TIM: Manual Test Interval) especificado en las SRS y usado en los cálculos de verificación del SIL. Este parámetro es directamente proporcional a la probabilidad de falla peligrosa de la SIF, es decir, mientras más grande el intervalo más grande es la probabilidad de que la SIF falle en el momento que se le necesite. De allí la tentación de usar TIM irrealmente bajos en el diseño y que son imposibles de cumplir por las organizaciones en la operación. Recuerde, no es lo mismo diseñar (el papel aguanta todo) que operar y mantener. Debe haber un equilibrio entre los objetivos de producción y de seguridad, que le permita a la organización generar una política consistente para la implementación de TIM realizables y que sean monitoreados para que se ajusten a los constantes cambios dentro de la organización sin impactar la seguridad. En la figura 5 se muestra el efecto del intervalo de pruebas periódicas sobre la disponibilidad de la SIF. Nota para el lector ¿Cada cuánto su instalación realiza una parada de planta que le permita probar apropiadamente las SIF? ¿Coincide este tiempo con el especificado en el diseño de las SIF?
Figura 5. Efecto de la Intervalo de Pruebas Periódicas (TIM) Sobre la
Disponibilidad de la SIF.
Disponibilidad de la SIF.
5- Que los elementos de la SIF nunca hayan sido reemplazados. Si los elementos de la SIF no han sido reemplazados, las fallas asociadas a las tasas de fallas que no pueden ser detectadas, ni por diagnósticos automáticos ni por pruebas manuales, se estarán acumulando durante la vida útil de la SIF. Por esto se debe estimar cual será el Tiempo de Misión (Mission Time) de cada componente de la SIF y el mismo debe ser respetado. En la figura 6 se muestra el efecto del Tiempo de Misión sobre la disponibilidad de la SIF. Nota para el lector ¿En cuánto tiempo tiene planificado el reemplazo de los sensores de su SIF?
Figura 6. Efecto del Tiempo de Misión sobre la Disponibilidad de la SIF.
Estos son solo algunos ejemplos, así que por favor tómese su Tiempo cuando defina las políticas en su organización para la implementación de estos parámetros.
Esta entrada fue basada en un trabajo de mi amigo Ricardo A. Vittoni, TIME- The Most Importat Parameter in SIS Fucntionality, mi reconocimiento y agradecimiento a él.
PONGA A PRUEBAS SUS CONOCIMIENTOS.
Preguntas de esta entrada: