SISTEMAS INSTRUMENTADOS DE

SEGURIDAD
DISEO DE SISTEMAS

Miguel Villalobos
 DISEO DE SISTEMAS
INTRODUCCION
As como un sistema de control bsico de proceso
BPCS, es ms que un controlador, un sistema
instrumentado de seguridad SIS es ms que un
PLC de seguridad.
Son sus componentes fsicos como sensores,
solucionadores lgicos y elementos finales de
control, los que configuran al SIS.
 DISEO DE SISTEMAS
INTRODUCCION
Preguntas que desprenden antes de iniciar un diseo
en la eleccin de la tecnologa:
Qu tecnologa deber ser usada: rels, estado slido,
microprocesador (PLC)?. Depende dicha seleccin de la
aplicacin?.
Los rels son todava usados en pequeas aplicaciones, pero
diseara un sistema de 500 entradas/salidas con rels?.
Es econmico disear un sistema con 20 entradas/salidas
con PLC redundantes?.
Algunos prefieren no usar sistemas basados en software en
aplicaciones de seguridad. Es una buena recomendacin?.
 DISEO DE SISTEMAS
INTRODUCCION
Preguntas que desprenden antes de iniciar un diseo
para la redundancia o elementos de campo:
Cmo de redundante debera ser diseado un sistema
instrumentado de seguridad?.
Depende de la tecnologa o del nivel de riesgo?.
Deberan los elementos sensores iniciadores ser de tipo
transmisor o interruptor (switch)?.
Si usamos transmisores, analgicos o digitales?.
Reduccin o no en los elementos de campo?. Pueden
usarse los mismos elementos de campo para enclavamientos
y para control?.
 DISEO DE SISTEMAS
INTRODUCCION
Vamos a describir por qu estos componentes son
considerados esenciales y otros no, as como la
manera en que la diferencia puede afectar a sus
decisiones de diseo.
Se definirn maneras de establecer que los
componentes fsicos son adecuados para
aplicaciones de seguridad.
Tambin las pruebas que garanticen que los
componentes funcionaran cuando se los necesite.
 DISEO DE SISTEMAS
COMPONENTES Y SUBSISTEMAS
Muy seguido cuando se disea y se especifica un
sistema de control bsico de proceso BPCS, se tiende
a comprar tanta funcionalidad y capacidad
(caractersticas atractivas) para el BPCS como lo
permite el presupuesto.
Sin embargo cuando se disea y se especifica un SIS ,
no se hace tanta referencia a las caractersticas
atractivas que sobre los componentes y subsistemas
esenciales y no esenciales.
Comprender la diferencia le ayuda a disear un
sistema con un nivel de integridad de seguridad SIL
correcto, sin exagerar el diseo de la solucin.
 DISEO DE SISTEMAS
COMPONENTES Y SUBSISTEMAS
Los elementos esenciales son los componentes SIS
y los elementos asociados necesarios para llevar a
cabo la funcin instrumentada de seguridad,
incluyendo sensores, controladores, elementos
finales de control , fuentes de alimentacin y
mdulos de E/S. Estos son los elementos que
deben cumplir con los requisitos definidos de nivel
de integridad de seguridad (SIL).
 DISEO DE SISTEMAS

Los componentes esenciales para llevar a cabo la funcin instrumentada de seguridad

, son los que se encuentran dentro del rea amarilla.
 DISEO DE SISTEMAS
COMPONENTES Y SUBSISTEMAS
Los elementos esenciales son los componentes SIS
y los elementos asociados necesarios para llevar a
cabo la funcin instrumentada de seguridad,
incluyendo sensores, controladores, elementos
finales de control , fuentes de alimentacin y
mdulos de E/S. Estos son los elementos que
deben cumplir con los requisitos definidos de nivel
de integridad de seguridad (SIL).
 DISEO DE SISTEMAS
COMPONENTES Y SUBSISTEMAS
Los componentes no esenciales (conocidos tambin como
no interferentes, proporcionan soporte para disear y
dar mantenimiento al sistema instrumentado de
seguridad, pero su presencia o ausencia no interfiere con
el funcionamiento del SIS.
Los ejemplos incluyen, estaciones de ingeniera,
multiplexores HART, calibradores porttiles y estaciones de
mantenimiento.
Aunque estos componentes no esenciales pueden
soportar la funcin de seguridad, no la ejecutan. Entonces,
no tienen que cumplir con los requisitos de nivel de
seguridad SIL, esto siempre y cuando se demuestre que
estos no introducirn fallas peligrosas en el SIS.
 DISEO DE SISTEMAS

Los componentes no esenciales como los que se encuentran fuera del rea
Amarilla no tienen que cumplir con los requisitos de nivel de seguridad SIL.
 DISEO DE SISTEMAS
COMPONENTES Y SUBSISTEMAS
En la mayora de los casos, tal como en una estacin de
ingeniera, es obvio que el componente o subsistema no es
esencial. Otros pueden ser menos obvios.
En la ilustracin anterior, y en la prctica, el multiplexor
HART incluye un panel de terminales de E/S donde se usan
resistencias para extraer la informacin digital de la seal
del sensor de 4-20 mA. Debido a que la seal del sensor no
pasa a travs de la electrnica del multiplexor para llegar al
solucionador lgico, la electrnica del multiplexor no se
considera como parte del SIS, menos tiene que cumplir
con los requisitos de nivel de seguridad o estar certificado.
A continuacin un flujograma que ayuda a determinar si
un componente o subsistema es esencial o no.
DISEO DE SISTEMAS
 DISEO DE SISTEMAS
CERTIFICADO O COMPROBADO EN USO:
Las normas de sistemas de seguridad IEC y
ANSI/ISA le proporcionan dos opciones cuando
selecciona dispositivos de sistemas de seguridad:
Usar dispositivos que han sido certificados
independientemente como conformes con las normas.
Producir documentacin histrica que demuestre que
un dispositivo no certificado puede ser usado en un SIS.
 DISEO DE SISTEMAS
CERTIFICADO
Para lograr el estatus de certificado, el fabricante del
dispositivo enva el hardware para ser sometido a un
amplio anlisis por parte de un tercero para verificar
que cumpla con IEC61508.
La evaluacin incluye pruebas y anlisis del hardware,
software y procesos de ingeniera y fabricacin del
dispositivo, y se busca establecer:
Como el dispositivo reacciona a una amplia gama de
condiciones de falla potenciales.
Si el dispositivo produce errores bajo esas condiciones.
Si esos errores se pueden detectar en forma rutinaria.
Si los errores son seguros o no seguros.
 DISEO DE SISTEMAS
CERTIFICADO
Los dispositivos certificados siempre incluyen un
manual de seguridad que informa al usuario final
como instalar, configurar y operar de manera segura el
dispositivo certificado.
El manual de seguridad tambin identifica las
limitaciones de la funcionalidad del dispositivo, en
otras palabras, que cosa no har?.
Si no hubiera un historial de uso anterior para el
dispositivo funcionando bajo condiciones similares, el
uso de dispositivos SIS certificados es a menudo la
solucin con mejor relacin costo beneficio.
 DISEO DE SISTEMAS
COMPROBADO EN USO
Se tiene que documentar que se tiene el mismo dispositivo
funcionando bajo condiciones similares a las del SIS propuesto, tal
como un BPCS.
Tambin se debe documentar el historial de uso y fallas del dispositivo
para determinar el tiempo medio entre fallas MTBF. Esta
documentacin debe avalar con una declaracin que el dispositivo es
capaz de cumplir con los requisitos SIL definidos, y, los nmeros de
probabilidad de falla en demanda (PFD) estn en los rangos definidos
para cada nivel.
La documentacin del historial del equipo documenta sus condiciones
de uso reales. Estas condiciones se deben extender ms all del
dispositivo para incluir las conexiones del proceso, los elementos
primarios y las prcticas de instalacin.
Como regla (con excepciones), los dispositivos ms complejos debe ser
certificados. Si un dispositivo es programable, entonces es muy
probable que sea complejo.
 DISEO DE SISTEMAS
PRUEBAS DE ACEPTACION
Los componentes esenciales de un SIS deben ser probados
peridicamente para comprobar que funcionaran cuando se necesite, o
bien para descubrir problemas y restaurar el sistema a su funcionalidad de
seguridad diseada.
La frecuencia con la que se deben realizar estas pruebas depende de la
probabilidad promedio de falla en demanda PFD del componente.
Entre ms frecuentes sean las pruebas, mayor es la seguridad de que el
componente funciona bien, lo que significa que la PFD es menor y por lo
tanto el factor de reduccin de riesgo FRR es mayor.
La ejecucin de una prueba de aceptacin de todo el sistema
generalmente es posible solo cuando el proceso esta parado. Aunque las
pruebas completas del sistema se necesitan peridicamente, se puede
reducir la frecuencia de los paros requeridos realizando pruebas
provisionales de lo que tpicamente se considera mayores factores
contribuyentes a la PFD: los elementos finales de control.
 DISEO DE SISTEMAS
PRUEBAS DE ACEPTACION
Para mantener el SIS en cumplimiento se requiere escoger entre tres
opciones:
Disear el SIS de manera que no necesite pruebas durante largos periodos entre
paros de planta. Con plantas operando dos, tres o ms aos entre paros
programados, sta puede ser una opcin de alto costo y muy difcil de lograrla en la
prctica.
Instalar lneas de desviacin alrededor de cada elemento final de control para
facilitar la prueba de aceptacin compleja mientras el proceso permanece en
operacin. Se deja al proceso desprotegido durante los periodos de prueba.
Tambin existe el riesgo de que se dejen las lneas de desviacin abiertas
inadvertidamente despus de que se completa la prueba.
Usar pruebas de vlvula de carrera parcial manuales o automatizadas, -estas no
requieren un paro de proceso-, para reducir la PFD. Los anlisis de fiabilidad
generalmente muestran que los problemas relacionados con las vlvulas, tales
como vstagos o tapones obstruidos, son los mayores contribuyentes a la PFD del
SIS. Una prueba de carrera parcial puede detectar estos problemas o comprobar
que existen.
Los diagramas ilustran cmo las pruebas ms frecuentes pueden reducir la PFD o
extender los intervalos entre pruebas de aceptacin completas.
 DISEO DE SISTEMAS
La PFD se incrementa en el tiempo pero regresa a su nivel original cuando una
prueba de aceptacin completa confirma que todo funciona correctamente, en
este caso durante un paro cada tres aos.
 DISEO DE SISTEMAS
La ejecucin de la misma prueba dos veces reduce la PFD promedio. En
consecuencia, se puede usar el mismo equipo para cumplir con un requisito SIL
mayor, o puede usar un equipo de menor costo para el mismo SIL.
 DISEO DE SISTEMAS
El otro enfoque es ejecutar pruebas de aceptacin completas slo la mitad de la
frecuencia, pero usar frecuentes pruebas de carrera parcial para mantener la
misma PFD promedio.
 DISEO DE SISTEMAS
PRUEBAS DE ACEPTACION
Los controladores e instrumentacin inteligente del SIS pueden
ser configurados para automatizar las pruebas de carrera
parcial, haciendo que sea ms fcil y ms econmico realizar
estas pruebas ms a menudo.
Estas pruebas automatizadas tambin evitan los riesgos de
seguridad asociados cuando se enva a alguien al campo para
ejecutar la prueba, y el riesgo de que la vlvula de paro de
emergencia no est disponible si se necesita durante la prueba.
La configuracin anterior (controlador e instrumentacin
inteligente) tambin facilitan la deteccin de problemas
potenciales al comparar los resultados de la prueba actual con
respecto a los de la prueba anterior o cuando se instalo la
vlvula.
 DISEO DE SISTEMAS
DIAGNOSTICOS
Otra manera de incrementar la fiabilidad del SIS es identificar y escoger componentes
con diagnsticos integrados. Esto especialmente para elementos como sensores y
finales de control: ms del 85% de los problemas que afectan a la operacin de un SIS de
seguridad se relacionan con los dispositivos de campo y no con el controlador.