Las Especificaciones de los Requerimientos de Seguridad (SRS) y el Ciclo de Vida de Seguridad (CVS) del SIS
Figura 1. Ciclo de Vida de Seguridad
del SIS (IEC-61511-1:2016)
Como expliqué en la entrada anterior, la SRS es un documento que va más allá de garantizar el correcto funcionamiento de los equipos e instrumentos que conforman el SIS. Más que una especificación, lo describo como una Hoja de Datos de Seguridad de la SIF, debido a que contiene información detallada que aporta al diseño, construcción, instalación, operación y mantenimiento de cada SIF, y como influye en todas las fases restantes del CVS, deben ser actualizadas durante toda la vida útil del SIS (o el Ciclo de Vida de Seguridad).
Figura 2. Relación de las SRS, con las demás fases del CVS.
Las primeras fases del Ciclo de Vida de Seguridad del SIS son el punto de partida de las SRS. Durante la “Asignación de las Funciones de Seguridad a las Capas de Protección” se identifican todas la Funciones Instrumentadas de Seguridad (SIF) requeridas para los diferentes escenarios peligrosos, determinando su Nivel de Integridad de Seguridad (SIL) y el modo de operación (bajo demanda, alta demanda o modo continuo). Adicionalmente, esta fase aporta información necesaria para el desarrollo de las SRS, como la descripción de los escenarios peligrosos (eventos iniciadores, probabilidad de ocurrencia y consecuencias), estado seguro del proceso, peligros específicos que serán
evitados o suficientemente mitigados, entre otros.
Una vez desarrolladas, las SRS son la base para el Diseño e Ingeniería del SIS. Como bien sabemos, en todos los proyectos de ingeniería tradicional (ya sea básica, conceptual o detallada) se realizan especificaciones de todos los equipos, instrumentos y sistemas (SIS, BPCS, BMS, F&G); por lo tanto, surge la duda ¿Por qué necesito realizar una SRS?
Las especificaciones tradicionales normalmente se desarrollan soportadas en una receta prescriptiva de normativas y/o mejoras prácticas que se basan en identificar el tipo de instrumento o equipo, requisitos de construcción, requisitos generales de instalación (del equipo o instrumento en particular), entre otros; y las especificaciones del SIS normalmente son manejadas como una especificación general del controlador de seguridad. En muchos casos, se emplean filosofías de control que podrían describir cada uno de las funciones que debe realizar el SIS, a veces expresadas como “interlocks”; sin embargo, quedan muchos puntos sin contemplar y de ahí surgen las siguientes dudas ¿Qué peligros estamos evitando al realizar esa función o “interlock”?, ¿Realmente podemos garantizar la seguridad del proceso con las especificaciones “generales” del SIS? y para ser más exactos ¿Realmente podemos garantizar que las SIF son diseñadas en función de alcanzar el SIL requerido?
Al trabajar en seguridad funcional se requiere más que una serie de elementos que se desempeñen de manera adecuada, recordemos que estamos hablando de SIF que deben alcanzar y mantener una integridad determinada.
Si nos enfocamos en el diseño, las SRS aportan información detalla (tanto del hardware como del programa de aplicación), para que cada SIS y sus SIF puedan actuar de la manera correcta, con la configuración correcta, en el tiempo correcto, con el desempeño adecuado y con la integridad necesaria para que pueda alcanzar el SIL requerido. Además, establecen las bases para la verificación del SIL, como son el SIL requerido, arquitectura de votación de los subsistemas (elemento sensor, controlador, elemento final), intervalos de ensayos periódicos (Ti), tiempo de pruebas parciales, tiempo de uso de bypass, tiempo medio de reparación (MRT), entre otros.
Durante la Instalación y Recepción y Validación del SIS, la IEC 61511 establece que “se debe asegurar que las SIF se construyan, instalen y funcionen en concordancia con lo establecido en las SRS”. Para esto se realiza la Validación de Seguridad del SIS, la cual demuestra que la funcionalidad del SIS está conforme a lo establecido en las SRS, antes del arranque de la planta. En la validación se verifica contra las SRS: si se instaló el equipo correcto, si la SIF actúa de modo correcto, si se instaló y configuró la parada manual de manera adecuada, si se configuró el disparo de cada SIF de manera correcta (energizar o des-energizar para disparar), si el SIS actúa de la manera deseada ante una falla revelada, si se configuró el programa de aplicación de manera correcta, si se instalaron las fuentes de energía auxiliares adicionales, si se configuraron los bypass de manera correcta, etc.
Para la fase de Operación y Mantenimiento del SIS, las SRS establecen para cada SIF el intervalo de tiempo en que se deben realizar los ensayos periódicos, el tiempo para realizar las pruebas parciales de cada uno de los componentes, los requisitos para realizar pruebas a las SIF, los requisitos para el uso de bypass, los tiempos de reparación, los requisitos para el uso de la parada manual, acciones que deben realizar los operadores ante una falla del sistema, requisitos para el mantenimiento, requisitos para el arranque y re-arranque del SIS, etc.; los cuales son utilizados como referencia para que se mantenga de forma adecuada el SIL de cada SIF a lo largo de su vida útil y el SIS se opere y mantenga de manera que se no se degrade su integridad de seguridad.
Como vemos, la fase de Especificación de los Requerimientos de Seguridad (SRS) da como resultado la información de referencia más importante y primordial para las fases restantes del Ciclo de Vida de Seguridad (CVS). Ahora, una vez conocido el propósito de las SRS dentro del CVS, qué piensa Ud. sobre la pregunta inicial ¿Es necesario realizar unas SRS?
Responda las preguntas de comprobación aquí: