Dispositivos que son utilizados en los sistemas instrumentados de seguridad

Paul Gruhn
Traducción: Eduardo Mota Sánchez
México Automatización,
Edición Septiembre – Diciembre 2011.

INTRODUCCIÓN

Hay muchos dispositivos sensores, PLC’s y elementos físicos que se utilizan en sistemas Instrumentados de Seguridad (SIS) que son certificados independientemente para su uso en ciertos Niveles de Integridad de Seguridad (SIL).

Sin embargo, existe un debate considerable si el Hardware en un Sistema de Gas y Fuego (SG&F) debe tener grado SIL.

Los vendedores están naturalmente interesados en la promoción de hardware con certificación independiente; con el fin de diferenciar sus productos en el mercado. Teniendo en cuenta las diferencias entre los SIS y los SG&F, enfocarse solo en la clasificación SIL o el desempeño del hardware del SG&F, es considerado por algunos como una práctica engañosa y cuestionable. Este documento revisa:

  1. Las diferencias entre los SIS y los SG&E.
  2. Como lo votación típica de los sensores de un SG&F no solo reduce los disparos en falso (lo cual es deseable) sino que también reduce la probabilidad de que el sistema responda a una demanda real (lo que no es deseable)
  3. Por qué conceptos y normas que se aplican a SIS (por ejemplo, las calificaciones SIL) puede no ser apropiado para los Sistemas de Gas y Fuego.

ANTECEDENTES

Las normas vigentes para detección de incendios y alarmas, tales como la norma NFPA 54 [I] y NFPA72 [II] son perspectivas y se centran en aplicaciones comerciales (por ejemplo, hoteles). Las normas actuales de Sistemas de Detección de Gas, tales como ISA 12.13.01 [III] Y 92.0.01 [IV] están tituladas como basadas en desempeño, pero el término se utiliza de manera diferente que en las normas IEC como 61508 [V] y 61511 [VI].

El desempeño en el caso de las norma ISA para Sistemas de Gas, se refiere a pruebas de caída, vibración, precisión, repetitividad, la respuesta a la temperatura y la humedad, etc. Las normas de Sistemas de Gas ISA están enfocadas para aplicaciones industriales (por ejemplo, refinerías). Los usuarios finales en el comité de ISA SP84 (que cubren SIS en la industria de proceso) consideraron que era necesario abordar los Sistemas de Gas y Fuego desde un punto de vista basado en desempeño (SIL) en lugar de un prescriptivo y que se centrara en aplicaciones industriales. El comité formó un equipo de trabajo nuevo hace unos años para tratar este tema.

DIFERENCIAS ENTRE CAPAS DE PREVENCIÓN Y MITIGACIÓN

El “diagrama de la cebolla” de la figura 1 es un ejemplo de las diferentes capas de protección en una instalación. Las capas están destinadas a reducir el nivel de riesgo general.

   Figura 1. Diagrama de cebolla

El riesgo es la combinación de la frecuencia severidad un evento. Si el sistema de control fuera perfecto es decir que nunca falla y que puede prevenir cualquier o todos los eventos peligrosos, no habría necesidad de otras capas. Desafortunadamente, los sistemas de control no son perfectos. Las capas no son sólidas (100% de efectividad en prevenir que situaciones peligrosas se propaguen aún más).

Las capas son más como un queso suizo, con agujeros que aparecen y desaparecen, crecen, se contraen y se mueven. De ahí la necesidad de la defensa en profundidad, o múltiples capas de protección.

Las capas interiores se conocen como capas de prevención. Tienen la finalidad de reducir la probabilidad de un evento. El objetivo es mantener el material en la tubería. Niveles de Integridad de Seguridad han sido históricamente asignados a la capa del Sistema Instrumentado de Seguridad, a menudo otras capas de prevención también se les asigna una cierta cantidad de desempeño.

Las capas exteriores se conocen como capas de mitigación. Que están destinadas a reducir las consecuencias de un evento que ya ha ocurrido. El material ya está fuera de la tubería y puede haber potenciales pérdidas de seguridad, ambientales y de producción.

Niveles de Integridad de Seguridad no han sido históricamente asignados a las capas de mitigación (ya que el objetivo general es mantener el material en la tubería y evitar las pérdidas), pero nada se opone a la práctica.

La tabla 1 muestra los requisitos de rendimiento para los diferentes niveles de integridad de seguridad según lEC 61511.

      Tabla 1. Requisitos Desempeño para los niveles de integridad de seguridad

EN 50402 [VII] y IEC 60079-29 [VIII] proyecto sobre detección de gas y niveles de integridad de seguridad han sido liberados. Estos documentos se centran solo en la eficacia del hardware del SG&F y usan el término SIL como se utiliza en la norma IEC 61508 y 61511. Sin embargo, IEC 61511 se centra en SIS que son capas de prevención, aunque los conceptos presentados en la norma pueden ser aplicados a todas las capa  de protección, la Figura 4 en la IEC 61511 indica claramente que la norma se puede aplicar para las capas de mitigación.

El supuesto son capa de prevención es que a) estas siempre serán capaces de ver situación de peligro, y b) si estas responden correctamente su acción  evitará que el evento peligroso ocurra. En otras palabras, usando un sensor de clasificación SIL 2, un PLC SIL 2, y un elemento final de clasificación SIL 2, debe resultar en una función de seguridad con clasificación SIL 2 que debe proporcionar al menos un factor de reducción de riesgo de 100 (ver Tabla 1), y suponiendo que todos los demás requisitos de la Norma se cumplen. Si un sensor que funciona correctamente es incapaz de ver la situación de peligro que debe detectar y, si un elemento final que funcione correctamente no elimina el riesgo, entonces el sistema simplemente no fue diseñado correctamente. Sin embargo, los Sistemas de Gas y Fuego, que son capas de mitigación, son diferentes.

Figura 2. Factores que afectan el rendimiento del Sistema de Gas y Fuego.

Los sensores pueden funcionar correctamente, pero simplemente no pueden ver la liberación de gas o un incendio. Por ejemplo, los sensores pueden ser colocados incorrectamente, puede que no haya suficientes sensores, el viento puede diluir el gas antes de que pueda ser detectado, obstáculos pueden desviar una fuga u ocultar un incendio, una fuga o un incendio pueden ser demasiado pequeños para ser detectados, etc.

El sistema puede responder adecuadamente, pero no hay garantía de que las consecuencias del suceso peligroso en realidad puedan ser eliminadas o mitigadas. Por ejemplo, el diluvio no puede apagar un incendio grande, la purga puede no ser lo suficientemente rápida como para evitar llegar a una acumulación importante de gas, etc. En otras palabras, usando un sensor de clasificación SIL 2, un PLC SIL 2, Y un elemento final SIL 2 podría no resultar en una función de Gas y Fuego SIL 2 que pueda proporcionar un factor de reducción de riesgo de 100. Este concepto se puede entender mejor con el árbol de eventos que se muestra en la Figura 2.

  • Cobertura del detector: La probabilidad de que el dispositivo en realidad vea la situación de peligro.
  • Respuesta de hardware: La probabilidad del hardware de responder adecuadamente a la demanda. 1-PFD (Probabilidad de falla en demanda).
  • Eficacia de la mitigación: La probabilidad de que la respuesta total del sistema en realidad previene o mitiga el evento peligroso.

La cobertura de detección es generalmente inferior al 90% (como se describe más adelante). Eficacia de la mitigación: también es considerada por muchos como inferior al 90%. 90% x 90% = 81 %. Uno menos la disponibilidad de Seguridad es la probabilidad de falla en demanda (PFD). 100% – 81% = 19%. El recíproco de PFD es el Factor de Reducción de Riesgo (RRF). 1/.19 = 5.

Esto está por debajo de un rendimiento SIL 1 (un factor de reducción del riesgo entre 10 y 100, como se muestra en la Tabla 1). Por lo tanto, el debate sobre el nivel de rendimiento del Hardware del Sistemas de Gas y Fuego puede llegar a ser de poco valor. En este ejemplo -que es realista- el sistema nunca va a cumplir con un SIL 1 de rendimiento, sin importar el tipo de hardware que se utilice. Centrándose solo en el hardware, como algunos desean naturalmente hacer, no es garantía de un SG&F efectivo.

LA COBERTURA DE DETECCIÓN

Aplicaciones de Gas y Fuego son capaces de actuar basadas sobre un solo sensor que entra en alarma. Sin embargo, la mayoría de los sistemas implementan alguna forma de voteo de varios sensores en una zona para reducir la probabilidad de activación del sistema debido a la falla de un solo sensor. Por lo general, dos o más sensores en una zona deben entrar en alarma antes de que se tome una acción automática. Si bien esto reduce la probabilidad de los disparos en falso debido a la falla de un solo sensor, la evidencia muestra que también reduce la probabilidad de que en realidad se responda a un evento peligroso.

En realidad, es menos probable que dos o más detectores en una zona estén en el área afectada, asumiendo que el diseño de los detectores no se ha modificado con la introducción del voteo. Estudios confidenciales de usuarios finales se han realizado para estimar la cobertura del detector. En un ejemplo, un usuario final le preguntó a un consultor .experto su recomendación sobre el número y ubicación de detectores de fuego en una plataforma marina. El consultor recomendó nueve sensores.

Esta información ha sido incluida en un modelo detallado de equipo de tres dimensiones de la plataforma, capaz de estimar la cobertura del detector. A nivel del suelo, la cobertura del detector para un solo sensor (1 de N) fue del 82%, con doble sensor (2 de N) fue del 68%, y tres o más sensores (> 2 de N) fue del 49%. Los valores a tres metros sobre el nivel del suelo son considerablemente más bajos para las configuraciones de múltiples sensores. Un programa de ordenador sugirió el uso de solo cinco detectores en vez de nueve. Los números para la cobertura de detección basados en la localización de la computadora a nivel del suelo fueron de 98% para un solo sensor (1 de N), el 90% de sensor dual (2 de N), y el 62% por tres o más sensores (> 2 de N).

Siempre hay que tener en cuenta que los modelos informáticos no son la realidad, son estimaciones de la realidad basadas en supuestos que no siempre son correctos. Como referencia el informe de la HSE [IX] (Health & Safety Executive del Reino Unido) sitúa la cobertura automática de detección de gas en el rango de 76%. Una forma de mejorar, posiblemente, esta situación sería la de no requerir múltiples sensores para detectar el mismo nivel de gas (por ejemplo, 50% LEL (límite inferior de explosión), sino más bien tomar medidas cuando un sensor detecta alto nivel (por ejem plo, 50% LEL) Y cualquier otro sensor detecta un nivel inferior (por ejemplo, 25% LEL). El uso de múltiples métodos de detección (por ejemplo, detectores puntuales, detectores de línea “apen path”, detectores ultrasónicos) resultara en una mayor probabilidad de tener mejores factores de cobertura del detector.

ESTIMAR LA COBERTURA DE DETECCIÓN Y LA EFICACIA EN LA MITIGACIÓN

Así como hay diferentes métodos de análisis de rendimiento del Sistema Instrumentado de Seguridad (por ejemplo, Diagramas de Fiabilidad de Bloques, Árbol de Fallas, Modelos de Markov), existen diferentes métodos de estimación de la cobertura de detección. Hay muchas variables a considerar, tales como el tamaño del área a controlar, si es espacio cerrado, parcialmente cerrado o no cerrado, el número de detectores, la densidad del gas, la velocidad del viento, el número de fuentes de fuga en el área, etc. simples y complejos modelos actualmente utilizados por los miembros del equipo de trabajo de Fuego y Gas muestran que la cobertura del detectar puede variar enormemente.

La cobertura de detección es muy alta para sensores individuales y una liberación catastrófica. La cobertura de detección es muy baja para múltiples sensores detectando medianas o pequeñas fugas. La estimación de la eficacia de la mitigación se puede hacer mediante la revisión de los registros históricos de la fábrica y/o la opinión de expertos (por ejemplo, el equipo de PHA).

CONCLUSIÓN

Los conceptos que se aplican a las capas de prevención, como los SIS no se aplican necesariamente a las capas de mitigación, tales como los sistemas de gas y fuego. A diferencia del Hardware del sistema instrumentado de seguridad, que puede tener cualquier nivel de integridad de seguridad, para el hardware de un SG&F puede ser engañoso.

Ya que solo esta información no permite determinar si el sistema en su conjunto se cumple con el nivel deseado de reducción de riesgo.

Una cadena es tan fuerte como  su eslabón más débil. Sentándose en el desempeño del hardware del SG&F solamente y no tomar en cuenta la cobertura de detección y la eficacia de la mitigación, esto es tan engañoso como concentrarse solo en el PLC de un sistema instrumentado de seguridad. El impacto de los dispositivos de campo (sensores y elementos finales) por lo general tiene un impacto dominante en el rendimiento del sistema instrumentado de seguridad. Del mismo modo, la cobertura de detección  y la eficacia de la mitigación tienen un impacto dominante en los sistemas de fas y fuego y pueden evitar que la mayoría de los SG&F cumplan siquiera con un nivel de desempeño SIL 1.

Sin embargo, es posible aplicar los concepto de diseño basado en desempeño SG&F.

Es posible asignar objetivos de reducción de riegos para SG&F y aplicar las técnicas cuantitativas en la verificación del sistema. Actualmente, se está trabajando dentro del comité ISA 84 sobre formas de tomar en cuenta la cobertura del detector y la eficacia de la mitigación se aborden y comprendan mejor, centrase en la clasificación SIL: de los equipos será más significativo.

AGRADECIMIENTOS

El autor no pretenden el desarrollo original de esta obra y agradece los esfuerzos en curso dentro del comité de la ISA 84 y el equipo de trabajo de gas y fuego, la información presentada por los usuarios finales, tales como Shell, BP y Chevron, y el trabajo de análisis relacionado por Kenexis. La intención de este documento es informar a la industria de la labor que se realiza, estimula el debate, y reclutar a otros para participar en el esfuerzo continuo.

REFERENCIAS

  • [I] EN 54: Fire detection and fire alarm systems.
  • [II] NFPA 72: National Fire Alarm Code.
  • [III] ANSI/ISA-12.13.01-2003: Performance Requierements for Combustible Gas Detectors.
  • [IV] ISA 92.0.01: Performance Requirements for Toxic Gas Detection Instruments: Hydrogen Sulfide.
  • [V] IEC 61508: Fuctional safety of electrical/electronic/programmable electronic safety-related systems.
  • [VI] IEC 61511: Fuctional Safety: Safety Instrumented Systems for the Process Industry Sector.
  • [VII] EN 50402: Electrical apparatus for the detection and measurement of combustible or toxic gases or vapours or of oxygen. Requirements on the fuctional safety of fixed gas detection systems.
  • [VIII] IEC draft 60079-29: Equipment for the detection and measurement of flammable gases – Guid for selectrion, instalation, use and maintenance.
  • [IX] Offshore hydrocarbon releases statistic and analysis, 2002, UK Health & Safety Executive Report HSR 2002 02, Feb 2003.
2+
Compartir:

One thought on “Dispositivos que son utilizados en los sistemas instrumentados de seguridad

  1. Felicidades, Excelente trabajo. Se me presenta la duda de la cantidad de detectores vs eficiencia, ya que en los diseños, tratamos de cubrir mas area con el cruce de conos de cobertura de los detectores, esto en teoria, deberia aumentar el nivel de proteccion de los activos a resguardar en un SF&G

    0

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.