Navas, Oscar – TÜV SÜD Functional Safety Engineer – Introducción a la Seguridad Funcional

.

Introducción a la Seguridad Funcional

Oscar Darío Navas GómezTÜV SÜD Functional Safety Engineer

e-mail: gestor.capacitaciones@confipetrol.com

RESUMEN: Sistemas compuestos por elementos eléctricos, electrónicos o electrónicos-programables han sido usados durante muchos años para desempeñar tareas relacionadas con la ejecución de funciones de seguridad en muchos campos de aplicación incluyendo por supuesto a la industria de procesos, a estos sistemas les llamamos “Sistemas Instrumentados de Seguridad – SIS”.

Sistemas para la detección y extinción de fuego y gas (Fire and Gas SIS), sistemas de gestión de calderas y quemadores (Burner Management Systems SIS) y sistemas de parada de emergencia (Emergency Shutdown Systems) son ejemplos de sistemas instrumentados de seguridad, las técnicas y metodologías necesarias para asegurar que estos sistemas enfocados a la manutención de la seguridad ofrezcan el nivel de reducción de riesgo necesario en términos de confiabilidad, requerido para alcanzar la seguridad en los activos, facilidades, ambiente o personas a proteger se denomina Seguridad Funcional.

El marco normativo necesario para ejecutar correctamente estas técnicas y metodologías esta regulado por la comisión electrotécnica internacional (IEC) y más exactamente por sus estandares IEC61508, IEC61511 e IEC 6206, dichas normas sustentaran los conceptos y definiciones presentados en este articulo a manera de introducción a la disciplina de la seguridad funcional.

PALABRAS CLAVE: Sistemas Instrumentados de Seguridad – Safety Instrumented Systemas - SIS, Funciones Instrumentadas de Seguridad – Instrumented Safety Functions - ISF, Probabilidad de Falla bajo Demanda – Probability of Failure on Demand - PFD, Factor de Reducción de Riesgo – Risk Reduction Factor – RFF, Fracción de Falla Segura – Safe Failure Fraction - SFF, Nivel de Integridad de la Seguridad – Safety Integrity Level – SIL, Tolerancia a Fallas de Hardware – Hardware Fault Tolerance – HFT.

1 INTRODUCCIÓN

Podemos definir la seguridad como la ausencia de riesgo inaceptable que atente contra la integridad de las personas bien sea directa ó indirectamente como resultado del daño a la propiedad o al ambiente. La seguridad funcional es entonces aquella parte de la seguridad total que depende del correcto funcionamiento de un sistema o equipo en respuesta a sus entradas. Para ilustrar esto podemos pensar en un sistema que

controla el nivel en un tanque de almacenamiento de hidrocarburos, suponga que este sistema se compone por un sensor de nivel, un controlador electrónico programable (PLC) y un actuador; cuándo el sensor alcanza el nivel máximo permitido en el tanque envía una señal al PLC, esta señal es interpretada por el controlador como un evento peligroso y el mismo genera una segunda señal a un actuador que cierra la válvula de suministro antes del derrame de combustible del tanque, evitando así la aparición de una atmosfera explosiva en el área. Esta reacción ante una situación peligrosa es parte de la seguridad funcional, no obstante el diseño del tanque y el dique de contención que probablemente existe alrededor de él no hacen parte de la seguridad funcional aunque si del total de la seguridad relacionada con el equipamiento o proceso a proteger; sin embargo ni la seguridad total ni la seguridad funcional pueden ser determinadas sin considerar el sistema como un total que comprende equipamiento, procesos, personas y ambiente.

Figura 1. Control de Nivel – Asco Numatics

En este articulo abordaremos entonces los conceptos fundamentales de la seguridad funcional que nos permiten asegurar la confiabilidad de estos sistemas y por lo tanto la ejecución de las funciones de seguridad para las cuales fueron diseñados y/o integrados.

2 PELIGRO, RIESGO Y REDUCCIÓN DEL RIESGO

2.1 PELIGRO Y RIESGO

La relación entre peligro y riesgo debe ser tratada cautelosamente ya que normalmente estos términos son confundidos, en la seguridad funcional definimos al peligro como aquel elemento o circunstancia que tiene la posibilidad de causar algún tipo de daño y al riesgo

1

Navas, Oscar – TÜV SÜD Functional Safety Engineer – Introducción a la Seguridad Funcional

.

como la combinación de la frecuencia de exposición a algún peligro ó de ocurrencia de un evento peligroso y al nivel de consecuencia relacionado con dicho peligro.

(1)

La seguridad se alcanza cuándo llevamos este nivel de riesgo de un nivel inaceptable a un nivel tan bajo como sea razonablemente posible o sencillamente aceptable, esta reducción del riesgo se logra principalmente en el factor de la probabilidad de ocurrencia del peligro o frecuencia (ver Ec. 1), ya que la consecuencia de la ocurrencia de dicho peligro es normalmente un factor constante. Esta relación la podemos ver más fácilmente en la Figura No. 2, expuesta a continuación.

Figura 2. Diagrama de Riesgo - Autor

Para tener la certeza de si estamos en la zona de riesgo aceptable o inaceptable lo más recomendable es cuantificar el diagrama de riesgo asignándole valores representativos tanto de la probabilidad de ocurrencia de un efecto como de la consecuencia del mismo, para esto nos apoyamos en metodologías para la identificación y cuantificación de peligros y en metodologías para el análisis de riesgos, estos métodos se sustentan en técnicas como el análisis de árbol de eventos ( Event Tree Analysis - ETA), análisis de árbol de fallas ( Fault Tree Analysis - FTA), análisis de modos de falla y efectos ( Failure Mode and Effects Analysis - FMEA), peligro y operabilidad ( Hazard and Operability - HAZOP) y análisis de capas de protección (Layer of Protection Analysis - LOPA) entre otras.

Las escalas a manejar y los criterios que separan la zona de riesgo aceptable de la zona de riesgo inaceptable son definidos por la entidad o persona que desea preservar la seguridad de sus activos o recursos humanos, no obstante organizaciones como la OSHA sugieren escalas de recomendable aplicación.

2.2 FACTOR DE REDUCCIÓN DE RIESGO - RFF

Una vez tenemos un análisis de riesgos cuantificado podemos movernos entre la zona de riesgo aceptable e inaceptable modificando la probabilidad de ocurrencia de un peligro o la frecuencia de exposición al mismo (en adelante probabilidad de peligro), a cuanto nos movemos en este valor desde la zona de riesgo inaceptable hasta la zona de riesgo aceptable le llamamos Factor de Reducción de Riesgo.

Para ilustrar mejor esto suponga que cuantificamos el diagrama de riesgo de la figura No. 2, gracias a una identificación de peligros y análisis de riesgos sobre el supuesto escenario de la explosión de una caldera, y donde los valores de referencia fueron determinados por la organización en estudios similares (análisis de riesgos).

Figura 3. Riesgo Zona Inaceptable

El análisis de riesgo utilizando técnicas de confiabilidad arrojó que la probabilidad de falla bajo demanda (PFD) del conjunto caldera era de 1 cada 1000 veces, para una confiabilidad del 99,9%, para la escala utilizada aparentemente es suficientemente seguro no obstante se le asignó una consecuencia con un valor de mil (1000) según una escala arbitraria que pretende cuantificar los daños sobre la propiedad, esto ubica al riesgo del evento “Explosión Caldera” en lo que para este ejemplo es una zona de riesgo inaceptable.

La propuesta entonces es reducir el nivel de riesgo por un factor tal que el riesgo del evento pase a la zona de riesgo aceptable, para ello trabajamos en la PFD del conjunto caldera (probabilidad del peligro) disminuyéndola 10 veces (Factor de Reducción de Riesgo - RRF=10), esto nos permite ubicar el riesgo del evento explosión caldera en las coordenadas (0,0001,1000) ya que como habíamos dicho las consecuencias de la explosión de la caldera son constantes.

En términos prácticos este factor de reducción de riesgo puede lograrse de muchas maneras: entrenamiento al operador, mejores materiales en la caldera,

2

Navas, Oscar – TÜV SÜD Functional Safety Engineer – Introducción a la Seguridad Funcional

.

procedimientos mejorados, etc. pero en lo que refiere a la seguridad funcional se haría con un SIS, que mediante sensores, controladores y actuadores pudiese determinar el estado inseguro de la caldera y tomar acciones para llevarlo a un estado seguro, esto disminuiría la probabilidad del evento “Explosión de la Caldera” en un factor proporcional a la confiabilidad de dicho SIS. Al conjunto de componentes y la especificación de cómo actúa el sistema ante un modo inseguro le llamamos Función Instrumentada de Seguridad (SIF).

Figura 4. Riesgo Zona Aceptable

3 CAPAS DE SEGURIDAD

Decíamos que el factor de reducción de riesgo podía lograrse de muchas formas pero que en lo referente a la seguridad funcional solo íbamos a tocar el tema de los SIS, esto puede entenderse de una manera más sencilla si identificamos a los sistemas de protección que puede llegar a tener un equipamiento o proceso como si fuesen capas de seguridad, este modelo se evidencia en la figura a continuación.

Figura 5. Capas de Protección.

El sistema instrumentado de seguridad – SIS, es entonces esa capa de seguridad que entra en

funcionamiento cuándo la acción normal del sistema de control básico de procesos (BPCS) y la acción del operador no han surtido efecto y antes de que las capas de mitigación empiecen a paliar las consecuencias del efecto que ya tuvo lugar.

Ejemplos de estos SIS son como se mencionaba al principio del articulo los sistemas de parada de emergencia (ESD), los sistemas de gestión de calderas y quemadores (BMS), los sistemas de detección y extinción de fuego y gas y los sistemas de control critico, entre otros, estos sistemas vienen típicamente compuestos por subsistemas de detección (sensores, transmisores), de decisión (controladores) y de accionamiento (actuadores).

Figura 6. Elementos típicos de un sistema instrumentado de seguridad – Emerson Process

Para ser consecuentes con la rigurosidad de las técnicas de confiabilidad debemos tener en cuenta que para determinar la confiabilidad del SIS, debemos evaluar la confiabilidad de cada uno de sus componentes en conjunto, este factor es indispensable a la hora de determinar el factor de reducción de riesgo asociado a un SIS. La confiabilidad entonces del conjunto integrado por el sensor, el actuador y el controlador sería en cálculos simplificados igual a la multiplicación de las confiabilidades de cada uno de los componentes que lo conforman. Suponiendo que todos tienen una confiabilidad del 90%, diríamos que todo el SIS tendría una confiabilidad de acuerdo a la Ec. 2.

(2)

3

Navas, Oscar – TÜV SÜD Functional Safety Engineer – Introducción a la Seguridad Funcional

.

Entonces la confiabilidad de nuestro SIS sería del 72.9% y no del 90% como inicialmente pudiésemos haber pensado.

4 NORMAS IEC 61508 E IEC 61511

Para normalizar estos cálculos y teniendo en cuenta el objeto de estos sistemas (mantener la seguridad), la comisión electrotécnica internacional (IEC) generó la normativa IEC 61508 titulada “Seguridad funcional de sistemas eléctricos, electrónicos o electrónicos programables relacionados con la seguridad” y la normativa IEC 61511 que toca estos temas específicamente en la industria de procesos, no obstante estas normativas no solo abordan el tema de la seguridad funcional como un conjunto de cálculos probabilísticos sino que engloban el problema desde la perspectiva del seguimiento de un ciclo de vida destinado a mantener la seguridad funcional de un determinado sistema, este ciclo de vida abarca desde la definición del alcance de un sistema instrumentado de seguridad hasta los requisitos de mantenimiento y gestión del cambio relacionados con el mismo, siendo estos más rigurosos que los manejados en un esquema regular de mantenimiento basado en la confiabilidad, esto debido a su enfoque a la reducción del riesgo.

Figura 7. Ciclo de vida de la seguridad funcional – Pilar Ojeda – INERCO.

Adicionalmente introduce una serie de términos relacionados con el análisis de la confiabilidad de los componentes que componen un SIS y su relación con el factor de reducción de riesgo asociado, uno de estos términos es el nivel de integridad de la seguridad - SIL (Safety Integrity Level), que poco a poco vamos viendo más a menudo en las etiquetas y especificaciones de proveedores de instrumentación para la industria de proceso, el SIL entonces es en parte una medida de la confiabilidad de sistemas y subsistemas.

Tabla 1. Nivel SIL

Otro de los términos relevantes a tener en cuenta es el denominado fracción de falla segura – SFF (Safe failure fraction), este concepto nos permite separar las fallas seguras de un sistema de las fallas que comprometen la seguridad (Ejem. Una válvula de alivio puede fallar, pero si falla en modo abierto, típicamente no comprometería la seguridad del sistema asociado). La fracción de falla segura es entonces igual a la sumatoria de las fallas seguras detectadas (sd), seguras no detectadas (su) y peligrosas detectadas (dd) sobre la sumatoria de todas las fallas del sistema (incluyendo las fallas peligrosas no detectadas –du – que son las que afectan directamente la seguridad funcional de un equipamiento o proceso). ver Ec. 3.

(3)Nota. Hablamos de fallas detectadas haciendo referencia a procedimientos de mantenimiento preventivo y a los componentes modernos con capacidad de auto-diagnostico.

Otro factor a tener en cuenta es la tolerancia a falla de hardware del sistema o Hardware Fault Tolerance (HFT), que es una medida de la redundancia presente en un sistema instrumentado de seguridad buscando aumentar la confiabilidad del conjunto del mismo. Suponga que para el ejemplo de la Ec. 2, no ubicamos un sensor sino dos sensores en paralelo, esto alteraría la ecuación ya que las confiabilidad de ambos sensores en conjunto aumentaría, esto alteraría la ecuación como se evidencia en la Ec. 4.

Figura 8. Redundancia para aumentar la tolerancia a fallos de hardware (HFT).

4

Navas, Oscar – TÜV SÜD Functional Safety Engineer – Introducción a la Seguridad Funcional

.

(4)

Es evidente entonces el aumento de la confiabilidad del sistema (anteriormente teníamos un 72.9%). Teniendo en cuenta estos últimos parámetros (SFF y HFT) obtenemos un nuevo criterio que también está involucrado en la determinación del nivel SIL, ver tabla 2.

Tabla 2.Nivel SIL en relación a la SFF y ala HFT

5 CONCLUSIONES

Para tener en cuenta todas las indicaciones de la normativa con relación a como mantener la seguridad funcional necesitaríamos mucho más espacio, sin embargo es evidente como estas herramientas nos ayudan sustancialmente a cuantificar y gestionar el riesgo que a diario corren nuestros activos, recursos humanos y ambiente, igualmente también es clara la relevancia de las técnicas de análisis de confiabilidad en el modelado de sistemas orientados a la seguridad.

Hoy en día la gestión del riesgo es un componente fundamental de la gestión total de proyectos, empresas y por supuesto sistema, la seguridad funcional entonces nos da las herramientas para entender, controlar y mitigar las consecuencias financieras, ambientales y humanas que estos riesgos pueden generar.

6 REFERENCIAS

[1] IEC 61508 Ed1.0[2] IEC 61511 Ed1.0[3] D.Smith, K Simpson, "Safety Critical Systems Handbook: A Straightforward Guide to Functional Safety, IEC 61508 (2010Edition) And Related Standards, Including Process IEC 61511}and Machinery IEC 62061 and ISO 13849" (3rd Edition ISBN978-0080967813, Hardcover, 288 Pages).

7 AUTOR

Oscar Darío Navas Gómez, es Ingeniero Electrónico de la Universidad Industrial de Santander con estudios de especialización en Automatización Industrial de la Universidad Autónoma de Bucaramanga, adicionalmente fue certificado por la organización alemana TÜV SÜD como Ingeniero en Seguridad Funcional; durante su ejercicio profesional ha diseñado e implementado sistemas instrumentados de seguridad y de control critico para equipamiento, procesos y maquinaria de la industria de la energía, actualmente se desempeña como gestor de capacitaciones y como soporte de ingeniería en las áreas de instrumentación y control de procesos de la empresa Confipetrol S.A. ubicada en Colombia

09 de Marzo del 2011, Segunda Revisión.

5