MAESTRIA OPERACIONES PETROLERAS.

1VERS. 6ED. & DIPLOMADO

INSTRUMENTACIN Y CONTROL EN
PLANTAS DE PROCESOS. 2VERS. 1ED.
Sistemas Instrumentados de Seguridad

12. Diseo del Hardware

www.inegas.edu.bo

Docente: Ing. Nelson Yaez

Correo: nelson@cotas.com.bo

Conceptos Fundamentales del Hardware

El diseo de hardware a nivel de la funcin de
seguridad:
Energizar versus des-energizar para disparar
Baja demanda, alta demanda, modo continuo
- 61508
Modo demanda, modo continuo - 61511
Probabilidad de Falla en Demanda (PFD)
Una medida del Safety Integrity Level (SIL)
Probabilidad de Falla Segura (PFS)
Una medida del Spurious Trip Level (STL)
3

Des-energizar o Energizar para Disparar

Cul es la diferencia?
Un sub-sistema "des-energizar para
disparar" no necesita energa para ejecutar
su funcin de seguridad
Se basa en el as llamado "principio de
diseo falla - segura"
Un sub-sistema "energizar para disparar"
necesita energa para ejecutar su funcin
de seguridad
ste no es un diseo falla - segura
4

Ejemplos: "Des-energizar para disparar"

Logic solver "fail - safe"
El estado seguro es siempre el
estado "O". o estado desenergizado
Slo con energa elctrica
resultar el estado "1.
Actuador con retorno a resorte
Energizar el resorte para abrir la
vlvula
Des-energizar el resorte para
cerrar
Diseo fail - safe
5

Ejemplos: "Energizar para disparar"

Sistema de "sprinklers"
Bombas
Electricidad
Agua
Sistema Fire & gas
Deteccin y
Gestin de alarmas

Baja Demanda, Alta Demanda, Continuo

lEC 61508 define tres modos de
operacin para las funciones de
seguridad
Modo de Baja Demanda
Modo de Alta demanda
Modo Continuo

Modo de Baja Demanda - lEC 61508

Funcin de seguridad de
baja demanda
Cuando la funcin se
ejecuta ante una
demanda, para llevar al
equipo bajo control a un
estado seguro y cuando
la frecuencia de esta
demanda no es mayor a
una demanda por ao
Ejemplo tpico
Funcin de shutdown
con vlvula ESD
8

Modo de Alta Demanda - lEC 61508

Funcin de seguridad de alta
demanda
Cuando la funcin se
ejecuta ante una demanda,
para llevar al equipo bajo
control a un estado seguro
y cuando la frecuencia de
esta demanda es mayor a
una demanda por ao
Ejemplo tpico
Funcin de shutdown con
vlvula de drenaje en un
reactor de procesos
9

Modo Continuo - lEC 61508

Funcin de seguridad de modo
continuo
Cuando la funcin retiene,
al equipo bajo control en
un estado seguro como
parte de la operacin
normal.
Ejemplo tpico
Funcin que regula un
caudal de alimentacin de
un producto a un reactor,
cuya variacin puede
ocasionar una reaccin
fuera de control
Tambin se las conoce como
funciones de Control Crtico
10

Modo Demanda VS. Continuo - lEC 61511

lEC 61511 define los modos demanda y continuo
Modo demanda
La falla de la funcin de seguridad, por s misma, no tiene
un efecto inmediato en el proceso
El proceso est en peligro si
La funcin de seguridad ha fallado Y
Ocurre una demanda

Modo continuo
Una falla de la funcin de seguridad, por s misma, tiene
un efecto inmediato en el proceso
El proceso est en peligro por el slo hecho de que la
funcin de seguridad ha fallado en forma peligrosa

11

Precaucin
La razones de cada demanda necesitan ser
analizadas
Un mal control del proceso resulta a menudo
en demasiadas demandas
Demandas frecuentes en un proceso de baja
demanda no debieran resultar,
necesariamente, en "lo que necesitamos es
un sistema de alta demanda"
Podran resultar cambios en el diseo, o en la
operacin del proceso, o cambios en los
procedimientos, etc.

12

Probabilidad de Falla
Para cada funcin de seguridad se necesita saber cun
a menudo sta falla

Probabilidad de Falla en Demanda - PFD

La probabilidad de que la funcin de seguridad no
se ejecute al recibir una demanda del proceso
Requerimiento en lEC 615611

Probabilidad de Falla Segura - PFS

La probabilidad de que la funcin de seguridad se
ejecute sin que haya una demanda desde el
proceso
No es un requerimiento en lEC 61561 1
Sin embargo indica que quiz deba tenerse en
cuenta
13

PFDavg versus PFH

La probabilidad de falla en demanda despus de un
ao o despus de una hora

14

Spurious TriP Level - STL

La Probabilidad de Falla Segura - PFS

15

Cmo usar el Spurious Trip Level

Para cada funcin de seguridad, estime el costo de un
disparo espurio
Cuanto mayor sea el costo ms alto deber ser el STL
Los niveles necesitan ser determinados para cada
compaa en particular. Vea un ejemplo ms abajo.

16

Sub-sistemas
Una funcin de seguridad es parte de un sistema el
cual puede tener varios subsistemas y elementos
Todos stos deben ser tems conforme a norma, es
decir, que deben cumplir con todos los requerimientos
de la norma.

17

Conceptos Fundamentales del Hardware

Diseo del Hardware a nivel de subsistemas
Redundancia y diversidad
Votacin y Tolerancia a Fallas del
Hardware (HFT)
Tipo A y Tipo B
Modos de falla
Fallas detectadas y reveladas
Fraccin de Falla Segura (SFF)
Restricciones de arquitectura
18

Redundancia
Definicin:
El uso de mltiples medios para conseguir
la misma (o PARTE DE la misma) funcin de
seguridad
La redundancia puede conseguirse
Por igual hardware y/o software o
Por diversidad de hardware y/o software
No ayuda necesariamente contra las fallas de
causa comn y no ayuda contra las fallas
sistemticas
19

Ejemplos de redundancia
Equipamiento redundante

Bus de comunicacin simple con mensajera

triple redundante

20

Diversidad
Definicin:
El uso de diferentes medios para ejecutar
la misma (o PARTE DE la misma) funcin
de seguridad
Puede conseguirse por
Diferentes mtodos fsicos
Diferentes filosofas de diseo
Es una medida contra las fallas de causa
comn y sistemticas, pero no
necesariamente ayuda contra todas ellas

21

Ejemplos de diversidad

22

Votacin
Votacin es
El nmero de caminos independientes (M)
requeridos dentro del total de caminos
eXistentes (N) para poder ejecutar la funcin
de seguridad
La votacin se expresa normalmente como
MooN
M expresa el nmero de votacin
N expresa el nmero de redundancia
Por ejemplo 1002, 2003, 2004, etc .
La votacin puede "destruir" la redundancia
Por ejemplo: 2002
23

Ejemplos - MooN

24

Tolerancia a Fallas del Hardware (HFT)

Una tolerancia a fallas de hardware 'N '

significa
Que N + 1 fallas pueden causar la prdida
de la funcin de seguridad
La HFT es fcil de calcular
Para cualquier sistema MooN: HFT =N - M
Por ejemplo, la HFT de un sistema 2003
es: 3 - 2 = 1

25

Sub-sistemas Tipo A
Un sub-sistema es Tipo A si:
Los modos de falla estn bien definidos Y
La conducta durante una falla puede ser
determinada completamente Y
Se hallan disponibles suficientes datos de
falla

26

Sub-sistemas Tipo B
Un sub-sistema es Tipo B Si:
Una o ms modos de falla no
estn bien definidos, O
Si la conducta ante una falla
no puede ser completamente
definida, O
Si los datos de falla
disponibles no son suficientes
Si tiene algn circuito
integrado puede estar 99.9%
seguro de que es Tipo B
27

Modos de Falla de los Sub-sistemas

Falla Segura
El sub-sistema falla en forma segura, si ste ejecuta la
funcin de seguridad sin que haya una demanda desde el
proceso
Falla Peligrosa
El sub-sistema falla en forma peligrosa, si ste no puede
ejecutar la funcin de seguridad ante una demanda
Falla de No Efecto
El elemento que falla es parte de la funcin de seguridad,
pero la falla no afecta a esta funcin
Falla de No Es Parte
El elemento que falla no es parte de la funcin de seguridad
Falla Detectada
Una falla es "detectada" si los diagnsticos incorporados
(built- in) la descubren
28

Descubriendo Fallas
Las fallas pueden ser descubiertas de tres
formas:
Durante la operacin normal
Mediante pruebas manuales peridicas
Periodic Proof Tests
Por medio de diagnsticos incorporados
(built-in)
Diagnostic Tests

29

Por medio de la Operacin Normal del proceso

Descubrirlas durante la operacin normal
significa que la conducta propia del proceso, por
s misma. revela la falla del sub-sistema, por
ejemplo,
El proceso se detiene debido a una falla
segura en un transmisor de presin, o
El tanque no se puede vaciar debido al
peligroso bloqueo en cerrado de la vlvula de
drenaje
Este forma de descubrir fallas no es til
Ni desde el punto de vista de la seguridad
Ni desde el punto de vista de la disponibilidad
30

Descubriendo Fallas por medio de Pruebas

En los sistemas de seguridad se llevan a cabo muchas
pruebas (testing)
Pruebas manuales peridicas (Periodic Proof Tests)
Pruebas de diagnstico (built-in Diagnostic Tests)
Cualquiera de estas pruebas comprende
Frecuencia: Cun a menudo se la real iza
Cobertura: El porcentaje de fallas detectadas
Una prueba es til slo si se acta de acuerdo con sus
resultados, por ejemplo:
Llevando inmediatamente el sistema a condicin
segura
No permitiendo que el sistema vuelva a arrancar si
la falla no fue reparada
31

Descubriendo Fallas por Diagnstico

Una prueba es de diagnstico (Diagnostic Test) si:
Se ejecuta en forma automtica Y
Se ejecuta frecuentemente Y
Se utiliza para descubrir fallas que puedan hacer
peligrar la funcin de seguridad y
Resulta en una respuesta segura
Usualmente una prueba es de diagnstico y est
incorporada ("built-in")
Por ejemplo un test de memoria, el "watchdog",
etc.

32

Acerca de la Frecuencia de Diagnstico

Con qu frecuencia debera ejecutarse una prueba
llamada "Diagnostic Test"?
Por lo menos un orden de magnitud mayor que la
"tasa de demanda" esperada
Frecuencia de DT > 10* Frecuencia de Demanda
Estimada
Por ejemplo
Si la demanda esperada es 1 vez por ao, y se realizan
pruebas automticas de 'partial stroke ms de una
vez por mes, entonces esas pruebas de "partial
stroke' son consideradas como "Diagnostic Test"
Las mismas pruebas automticas de "partial stroke"
realizadas cada 2 meses, deben ser consideradas
como Periodic Proof Test
33

Descubriendo Fallas por Pruebas Peridicas

Todas las otras pruebas son llamadas Pruebas
Peridicas (PPT = periodic proof test). stas son:
NO automticas O
De muy baja frecuencia
Una prueba peridica
Es iniciada por la accin humana
Usualmente no est incorporada ("built-in'') en el
equipamiento. Se requiere equipamiento adicional
para ejecutarla
Por ejemplo, un operador realiza la prueba de
cierre parcial (partial stroke test) de una vlvula

34

Pruebas Peridicas (PPT)

Podemos ejecutar una Prueba Peridica
En un dispositivo individual
En una combinacin de dispositivos
En la funcin de seguridad completa

35

Diferencias entre DT y PPT

36

Distribucin de Fallas

37

Detectada o No Detectada

38

Fraccin de Falla Segura (SFF)

Qu es la SFF?
Una medida de la efectividad del diseo
"failsafe y/o de los diagnsticos incorporados
de un sub-sistema
Es un parmetro de diseo, no un parmetro
operacional
Se calcula como:

39

Atencin
No se puede utilizar una Prueba Peridica (PP1) para
calcular la SFF
Prueba Peridica (PPT) es un parmetro operacional
Por qu existe la SFF?
La PFD refleja cun a menudo un sub-sistema falla en
forma peligrosa no detectada
Esto no es suficiente para expresar la seguridad
La SFF es la proporcin de fallas peligrosas no detectadas
inherentes a un sub-sistema %DU=1-SFF
Fallas peligrosas no detectadas
SFF "qu porcentaje"
PFD "qu tan probables"

40

Restricciones de Arquitectura
(lEC 61508 - Ruta 1H)

41

Restricciones de Arquitectura (lEC 61511)

Programmable electronic (PE) logic solvers

42

Restricciones de Arquitectura
(lEC 61151-1)
Todo equipamiento excepto los PE logic solvers

43

Cundo reducir o incrementar la HFT?

Podemos reducir en "1" la HFT
Si el dispositivo est seleccionado como
"prior use" Y
Slo pueden ajustarse parmetros
relacionados con el proceso Y
Este ajuste de parmetros est protegido Y
El SIL es menor que 4
Debemos aumentar la HFT en "1"
SI la falla dominante no lleva al subsistema a un estado seguro Y
No pueden detectarse las fallas peligrosas
44

Cundo lEC 61508 Y cundo lEC 61511?

45

Integridad de la seguridad del hardware: restricciones de la

arquitectura en el tipo A y B en subsistemas relacionados con la
seguridad

46

Restricciones de Arquitectura
Insatisfechas?
Detngase!
No hay necesidad de continuar
No hay necesidad de hacer clculo de
probabilidades
Lo que usted necesita hacer es
Redisear la arquitectura O
Cambiar la configuracin de la arquitectura
Seleccionar dispositivos ms apropiados
Seleccionar dispositivos con una SFF mayor
47

Sistema de Seguridad 1001

48

Sistema de Seguridad 1001 versin II

49

Sistema de Seguridad 1002

50

Sistema de Seguridad 1002 versin II

51

Sistema de Seguridad 11002 versin IV

52

Sistema de Seguridad 2002

Mal

diseo de sistema de seguridad

Ninguna Seguridad -> Disponibilidad de

Proceso

53

Anlisis de Confiabilidad
Por qu un Anlisis de Confiabilidad? De
acuerdo con la Normas, necesitamos
Documentar el comportamiento de la fal la
de la funcin de seguridad
Determinar la SFF para cada sub-sistema
Determinar la "PFD Objetivo" (PFDavg, PFH)
para cada funcin de seguridad
Otra razn para realizar un estudio de
confiabilidad
Los Usuarios tambin quieren saber las tasas
de falla espurias de la funcin de seguridad
54

Pasos del Anlisis de Confiabilidad

55

Diagrama de Bloques Funcionales

Cree el diagrama de
bloques funcionales
Desde el punto de vista
del funcionamiento (sin
fallas)
Tome en cuenta relaciones
funcionales
Descienda hasta el
componente reparable
ms pequeo (mdulo)
Tome en cuenta la
redundancia y la votacin
56

Diagrama de Bloques Funcionales

57

Ejemplos de Ecuaciones lEC 61508-6

1001

1002

La lEC 61508 tiene frmulas para bloques de

confiabilidad con votaciones 1001, 1002,
1002D, 2002, y 2003
Estas frmulas no son normativas
Las ecuaciones simplificadas se pueden
derivar de modelos de Markov
58

Modelos de Confiabilidad

59

Confiabilidad vs. Disponibilidad

Disponibilidad (Availability) La probabilidad de
xito en un momento en el tiempo
A = f( , ) (Tasa de falla y tasa de reparacin)
Confiabilidad (Reliability) La probabilidad de xito
durante un intervalo de tiempo
R = f( , TI = t ) Tasa de falla, intervalos de tiempo
La confiabilidad y la disponibilidad son frecuentemente
intercambiados. Ellas son medidas similares de una
operacin exitosa. La disponibilidad es por su lado un
valor promedio que es una funcin de las tasas de falla
y de las tasas de reparacin. La confiabilidad es una
funcin de las tasas de falla y de los intervalos de
tiempo de operacin.
60

Ejemplo - Disponibilidad
Tasa de Falla Falla por unidad de tiempo por dispositivo
Mean Time to Failure (MTTF) Tiempo promedio a la falla
El intervalo tiempo promedio de operacin exitosa de un
sistema (puede ser extendido a sub sistemas o
dispositivos)
Mean Time to Repair (MTTR) Tiempo promedio de
reparacin El intervalo de tiempo de reparacin
promedio de un sistema. Aplica solo a sistemas reparables!
Debe tenerse cuidado con el trmino MTTR que no es universalmente
definido a travs de varias normas internacionales y los libros de texto
de ingeniera de confiabilidad.
En la IEC 61508 por ejemplo, es el acrnimo de Mean Time to Restore.
61

www.inegas.edu.bo

62