Selección y Justificación de Instrumentación para SIS

Por: Exida, Traducción: Ing. Rodolfo Hernandez zquez, Comité de Seguridad, ISA México.
InTech México Automatización, 
Edición Enero – Marzo  2010

INTRODUCCIÓN

La selección de instrumentos para las aplicaciones en un Sistema Instrumentado de Seguridad (SIS) es importante, una empresa o compañía operando, depende de los instrumentos de protección en caso de una situación potencialmente peligrosa. Por eso, hay requisitos para la selección de equipo y justificación en la norma lEC 61511, una norma o estándar para la seguridad funcional de las industrias de proceso.

Cuando las especificaciones para todas las Funciones Instrumentadas de Seguridad (SIF) en un proyecto están concluidas, el proyecto pasa a la fase de diseño del Ciclo de Vida de la Seguridad (SLC). En la fase de diseño los instrumentos se eligen, la redundancia en las arquitecturas se establecen y los métodos de prueba se seleccionan. La selección de los instrumentos y la justificación son el enfoque de este documento. Dos cosas se hacen cuando se selecciona un instrumento para una aplicación de SIS.

  1. El instrumento debe cumplir los requisitos solicitados
  2. El diseño del instrumento debe cumplir con un nivel suficiente de integridad de la seguridad (SIL).  La Integridad de la seguridad puede ser determinada a través de uno de dos métodos, una evaluación “Probada en uso (Proven in use)” realizada por el usuario final o una evaluación del diseño “de conformidad con” el lEC 61508 normalmente realizada por un experto independiente (Entidad Certificadora).

Si bien, una evaluación de equipos probados en uso era la única alternativa para la mayoría de los instrumentos hace algunos años, ahora la mayoría de los instrumentos de cada categoría están disponibles con certificación lEC 61508. La selección de equipo y la justificación se ha convertido en algo mucho más fácil.

REQUISITOS DE APLICACIÓN

Para cumplir con los requisitos para una aplicación específica, un instrumento (transmisor de presión, transmisor de la temperatura, transmisor de nivel, PLC, electroválvulas, actuadores, válvula de bola, etc.) deben ser evaluados. Lo primero que debe hacerse, es asegurarse de que el instrumento realmente funcionará bien en la aplicación prevista. Esto consiste de una revisión de la aplicación en combinación con la experiencia operativa real.

Para decidir que un equipo es aplicable debe responder algunas preguntas, entre otras, ¿El instrumento cumple con los requisitos funcionales?, ¿Es adecuado para el medio ambiente esperado?, ¿Los materiales son adecuados para las condiciones de proceso que se esperan?, ¿El Manual de seguridad del Instrumento presenta restricciones inaceptables?

Un ingeniero competente podría pensar que parece ser posible responder a las preguntas funcionales y del medio ambiente a través de la revisión de las especificaciones, se debe reconocer que algunos componentes de instrumentación y procesos industriales son muy complejos. Esto hace que sea demasiado fácil pasar por alto algunos aspectos críticos entre el instrumento y la aplicación.

Por lo tanto, la mayoría de las empresas disponen de procedimientos que requieren que las pruebas se realicen en el entorno del proceso real. Un instrumento puede ser instalado en un número de aplicaciones de baja peligrosidad, donde la falla no sea crítica. La experiencia adquirida en dichos Seguimientos puede ser esencial en la identificación de posibles problemas. Para obtener el máximo provecho de las aplicaciones de referencia, cualquier problema debe ser identificado y analizado. Un buen sistema de reporte de problemas deberá reunir la mayor cantidad de información considerada importante. [Gob08].

Hay que recordar sin embargo que las aplicaciones de control de procesos y aplicaciones del sistema instrumentado de seguridad son diferentes. La instrumentación no puede comportarse de la misma forma en ambas aplicaciones. Considere una válvula. En una aplicación de control de proceso la válvula está moviéndose con frecuencia. En una aplicación de Sistema Instrumentado de Seguridad la válvula normalmente se mantiene en una posición estática (totalmente abierta o totalmente cerrada) durante largos períodos de tiempo. Los datos recopilados en una sola aplicación deben ser cuidadosamente considerados, ya que pueden no ser aplicables en otra aplicación.

El “Manual de Seguridad” es un documento que debe ser proporcionado por un fabricante del producto. En él se explica específicamente cómo el producto debe ser usado en una aplicación de SIS. Este es un importante documento “preventa” ya que puede mostrar restricciones sobre el uso que son importantes para la aplicación. Por ejemplo, un fabricante del producto puede requerir el uso de dos módulos de entrada y salida para aplicaciones de seguridad de acuerdo con el manual de seguridad. Duplicar el equipo puede ser poco práctico y sin duda será costoso. Este tipo de información se encuentra en el manual de seguridad.

REQUISITOS DE INTEGRIDAD

Una vez confirmada la Aplicabilidad de un instrumento para un caso específico, la integridad de la seguridad de un instrumento debe ser determinada en función del nivel SIL. El concepto es que integridad SIL 3 debe ser un orden de magnitud mejor que la integridad SIL 2 y así sucesivamente. En el momento en que la norma lEC 61511 fue desarrollada, solo los componentes de PLC estaban típicamente disponibles con certificación de la norma lEC 61508. Por lo tanto, un método alternativo se necesitaba y la norma ofrece dos opciones de cómo justificar la integridad de la seguridad.

Los componentes seleccionados para ser usados como parte de una Función Instrumentada de Seguridad (SIF) pueden ser evaluados de acuerdo con la norma lEC 61508-2 y lEC 61508-3 por una tercería experta certificada. Esta es una excelente manera de asegurar que estos componentes están “en conformidad” con la norma lEC 61508.

Alternativamente, los componentes pueden estar justificados por lEC 61511, cláusulas 11 .5.3 a 11 .5.6 – Elementos probados en uso. Aunque la norma como guía no ofrece mucho detalle, la idea es considerar que un componente ha demostrado su rendimiento lo suficiente y bajo diferentes condiciones suficientes para justificar el hecho de confiar en ella como parte de una función instrumentada de seguridad, con un SIL nominal.

REQUISITOS DE INTEGRIDAD. CERTIFICACIÓN LEC 61508

La elección de un instrumento con un SIL nominal en apego a la 61508 proporciona una total y sencilla justificación de integridad de seguridad. Los componentes que pasan este proceso de evaluación de lEC 61508 dan cumplimiento tanto a la perspectiva de falla al azar de hardware como a la perspectiva de falla sistemática de diseño. Afortunadamente este planteamiento simple y sólido ha sido más fácil en los últimos años ya que muchos fabricantes de instrumentos han logrado obtener la certificación lEC 61508 – aunque esto es un logro relativamente nuevo. Se puede observar que la mayoría de los productos no ha recibido la certificación sino hasta 2007 y posterior.

En una evaluación de 61508 tanto el diseño mecánico y / o de hardware eléctrico son analizados. El análisis incluye: los modos de falla, falla segura vS. Falla peligrosa; cualquier diagnóstico automático fallas efectivamente verificadas y redundancia interna.

El resultado del análisis es generalmente un conjunto de tasas de falla cuantitativos utilizados por el ingeniero del sistemas de control para verificar un diseño de SIF particular.

PROTECCIÓN CONTRA FALLAS SISTEMÁTICAS DEL DISEÑO

También deben ser proporcionadas por el fabricante del instrumento, a fin de cumplir los requerimientos de la norma lEC 61508. El resultado de la evaluación le da a un instrumento una “Capacidad de SIL” nominal. La “capacidad de SIL” nominal significa que un instrumento puede ser utilizado en un diseño para ese nivel de desempeño. Tenga en cuenta que esto solo, no asegura que un diseño dado cumpla con el nivel SIL basado a cálculos probabilísticos.

Una correcta evaluación determina la capacidad del SIL, analizando el proceso completo de diseño de los componentes incluyendo los métodos de las especificaciones, los métodos de diseño, herramientas de diseño, métodos de prueba, las técnicas de revisión y documentación. El Proceso de cambio de fabricante del instrumento también se incluye, muchos errores de diseño se hacen cuando se modifica el diseño original. Esto es importante para todos los productos incluyendo dispositivos mecánicos simples, así como los errores de diseño pueden causar fallas peligrosas. Pero es más importante para cualquier producto que contiene circuitos integrados y software complejo.

El resultado de ese análisis debe ser un “asunto de seguridad”, que describe cómo un fabricante de instrumentos cumple con cada uno de los requisitos de la norma lEC 61508. El caso de la seguridad se resumirá en un informe de certificación que debería estar a disposición de todos los compradores potenciales. Sí es usted un comprador, es su derecho y responsabilidad exigirlo.

Cada componente evaluado resulta con una calificación de Capacidad SIL nominal y el componente tiene la justificación para usarse en una función instrumentada de seguridad hasta con ese nivel de SIL. Por ejemplo, un componente con capacidad de SIL 2 podrá ser utilizado en cualquier función instrumentada de seguridad con un SIL 2 o para una reducción de riesgo menor. Dicho componente no debe ser utilizado en una aplicación SIL 3, salvo que una justificación de “probada en uso” también se haga. Algunos fabricantes de componentes usan la auto-certificación, pero muchos usuarios finales solo aceptan la calificación del SIL nominal realizado por una tercería competente. Casi todas las certificaciones de los componentes de la industria de proceso han sido realizadas por exida o una de las empresas TÜV.

El beneficio global de una certificación 61508 es que el comprador sabe que un componente tiene un nivel lo suficientemente alto de calidad de diseño en apego a la calificación de Capacidad de SIL nominal. El comprador también debe recibir la documentación auditada sobre cómo utilizar el componente en una aplicación de seguridad junto con un conjunto completo de información sobre las tasas de falla, los modos de fallo, los límites de vida útil, procedimientos de prueba sugeridos y limitaciones de aplicación.

REQUISITOS DE INTEGRIDAD. JUSTIFICACIÓN DE “PROBADO EN USO” (PROVEN IN USE OR PRIOR USE)

La cláusula 11 .5.3 de la norma lEC 61511 establece que “evidencia apropiada estará disponible para los componentes y sub-sistemas adecuados a usarse en sistemas instrumentados de seguridad” con respecto a “evidencia apropiada se incluye: Consideraciones de la calidad del fabricante, administración y configuración de los sistemas de administración del fabricante , identificación y especificación adecuada de los componentes o subsistemas; demostración del funcionamiento  de los componentes o subsistemas en los perfiles de funcionamiento y ambientes físicos similares. El volumen de la experiencia operativa”.

Sin embargo, detalles sobre el alcance de la auditoría de calidad del fabricante, el nivel de la documentación, el detalle de los requisitos de identificación, el volumen exacto de la experiencia operativa, etc, no los establece la normatividad.

Una “auditoría al sistema de calidad del fabricante” puede variar en complejidad dependiendo de la profundidad de la auditoría. Es conveniente entrar en más profundidad para los más altos niveles de SIL. Un conjunto de recomendaciones son las siguientes:

  • SIL 1) Verificar la certificación ISO 9000, verificar documentado el proceso de diseño, obtener resultados FMEDA, el estudio del manual seguridad.
  • SIL 2) Lo anterior para SIL 1 más la revisión detallada del proceso de diseño – diseño, prueba y procedimientos de documentación, la garantía de revisión de retorno de datos y retroalimentación del sistema de fallas de campo.
  • SIL 3) Diseño de auditoría y el proceso de fabricación por la norma lEC 61508 SIL 3, verificar las pruebas de inducción de fallas. Hay fuentes con información de resultados de FMEDA en sitios tales como http://www.exida.com/ applications/sael/index.asp). “Adecuada identificación y especificación” significa que las revisiones al hardware y al software (si procede) deben ser cuidadosamente seguidos por el fabricante e identificadas para los usuarios.
  • SIL 1) Verificar la versión del fabricante de hardware de control mecánico, hardware y software electrónico (si procede). Están todas las versiones documentados y claramente marcadas en el producto?
  • SIL 2 )Todo lo anterior para SIL 1 más la detallada revisión del historial de versiones.
  • SIL 3 ) El historial de auditorías del fabricante y la retroalimentación de fallas de campo

Algunos fabricantes están trabajando para ayudar a los usuarios finales en su evaluación de equipos probados en uso (Prior use or proven in use) al proporcionar una lista completa de todas las revisiones, la revisión del histórico y una lista de fallas de campo.

Incluso con estos informes de utilidad, el usuario final debe reunir el historial de rendimiento de campo para estar seguros de que un componente tiene la integridad de la seguridad adecuada. El alcance y la calidad de los datos debe soportar el nivel SIL, con SIL 1 se requieran una menor cantidad de datos y SIL 3 requiere integrar una cantidad de datos muy alta en un rango adecuada de aplicaciones. Para muchos instrumentos de campo simples se acuerda que la información obtenida de un buen sistema de información de mantenimiento que es regularmente auditado por la calidad y el cumplimiento, generará información suficiente después de varios años si el diseño de componentes no cambia (no hay revisiones de diseño). Para hacer frente a la “demostración del funcionamiento de los componentes o subsistemas en los perfiles de funcionamiento similares y entornos físicos” el requisito de la norma lEC 61511 el monitoreo del rendimiento en campo debiendo registrar las condiciones de operación y todos los números de revisión de hardware / software de los instrumentos.

Cuando lEC 61511 menciona “el volumen de la experiencia operativa” no se dan cifras concretas, como requisitos mínimos. Sin embargo, la norma lEC 61508 da orientación en varios lugares. Las probabilidades de falla peligrosa para las aplicaciones en modo de alta demanda requieren una cantidad mínima de horas de funcionamiento para apoyar a los números. Números más altos son necesarios para mayores niveles de SIL. Se recomienda que:

  • SIL 1)  Monitorear el rendimiento en el campo sin fallas peligrosas PARA UN MINIMO de 100 000 horas de operación por unidad.
  • SIL 2)  Monitorear el rendimiento en el campo sin fallas peligrosas por UN MINIMO DE 1 000000 de horas de operación por unidad.
  • SIL 3)  Monitorear el rendimiento en el campo sin fallas peligrosas de 10 000 000 horas de operación por unidad.

La calidad de la ejecución de pruebas deben ser considerados en el análisis, muchas de las fallas peligrosas que se reportan en estos casos solo pueden ser detectadas mediante la ejecución de pruebas de funcionalidad.

Para los dispositivos complejos, como un PLC, existen requerimientos adicionales de la cláusula 11 .5.5. Efectivamente un análisis al igual que una evaluación completa de la norma lEC 61508. Por lo tanto, no es práctico para los usuarios de equipos aplicar una justificación de probado en uso (prior use or proven in use) más allá de aplicaciones SIL 1 para un componente programable complejo como un PLC.

Así que para el componente más básico, donde un usuario final puede solicitar la justificación “probada en uso”, como un caso sólido debe documentarse. El informe exigido deberá presentar claramente las evidencias y todos los datos de referencia, incluyendo la justificación de la versión de cada componente. Además, las personas que asumen la responsabilidad de aplicar la justificación de probado en uso, la justificación de seguridad debe estar claramente identificada y firmar el documento al igual que cualquier tercería.

CONCLUSIÓN 

Es claro que los componentes utilizados en los diseños en apego al lEC 61511 deben ser cuidadosamente seleccionados. Con la disponibilidad de productos certificados por la norma lEC 61508, la justificación es mucho más fácil de lo que era en el pasado.

REFERENCIAS

[Gob08] Goble, William M. y Siebert, José, “la falta de datos de campo -lo bueno, lo malo y lo feo “, PA: Sellersville, exida, 2008, PA: Sellersville, exida, 2008, www.exida.com

ACERCA DE NOSOTROS

ISA Sección Central México agradece a los Miembros Activos del Comité de Seguridad su esfuerzo y desempeño, colaborando con las actividades que a lo largo de estos años ha venido desarrollando.

iEnhorabuena! Seguimos exhortando a Ingenieros y Gente del gremio a ser partícipes y colaborar con el Comité de Seguridad.

0
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.