Cap 2.2 Sistemas de Seguridades (Parte 1)

25 Noviembre 2009

 

2.2.1    Introducción

 

¿Qué es un "Sistema de Seguridad"?

 

Los Sistemas de Seguridades están diseñados para proteger a las personas, equipos y entorno ante condiciones que puedan resultar peligrosas. En estos casos deben actuar inmediatamente llevando la planta o el equipo a una posición segura.

 

Con frecuencia el diseñador del Sistema de Seguridades cae en el error de no considerar al Sistema como algo "global". Se fija demasiado en una parte, por ejemplo el tipo de hardware a utilizar, y descuida otras partes creando lamentables cuellos de botella y puntos débiles.

 

Figura 2-3. Objetivos del Sistema de Seguridad

Figura 2-3. Objetivos del Sistema de Seguridad

 

 

El Comité Técnico de la IEC examinó 34 accidentes que fueron el resultado directo de fallos en los sistemas de control y seguridades en diferentes industrias.

 

El resultado es muy ilustrativo y se refleja en la Figura 2-4.

 

Figura 2-4. Causas de fallos

Figura 2-4. Causas de fallos

 

Es decir, casi la mitad de los errores fueron debidos a especificaciones incorrectas.

 

Como consecuencia de este estudio el Comité estableció unos requerimientos generales y estrategias para conseguir la seguridad funcional de los Sistemas de Seguridades.

 

Figura 2-5. Estrategias para la seguridad funcional

Figura 2-5. Estrategias para la seguridad funcional

 

 

Capacidad  de  las  personas: formación  adecuada,  buenos   conocimientos   y experiencia.

 

Gestión de Seguridad: la política de seguridad debe fijarse en un plan de seguridad que debe realizarse para cada proyecto.

 

Requerimientos técnicos: evaluación de riesgos, nivel de seguridad requerido (SIL), requerimientos del hardware y del software, documentación.

 

Estos requerimientos deben tenerse en cuenta en cada una de las 16 fases del llamado "Ciclo Global de Vida de Seguridad".

Figura 2-6. Ciclo Global de Vida de Seguridad

 

Figura 2-6. Ciclo Global de Vida de Seguridad (Click en la Imagen para agrandar)

 

 

El ciclo se inicia con el concepto definición (el escenario), continúa con el análisis de riesgos, realización, puesta en marcha, mantenimiento y finaliza con el fuera de servicio definitivo.

 

Cada periodo del ciclo de vida incluye:

■       Objetivos

■       Requerimientos

■       Campo de aplicación

■       Especificación

■       Resultados

 

La evaluación de la seguridad funcional debe ser realizada en todas las fases, especialmente en los casos de niveles más altos de seguridad, por expertos independientes (empleados, departamentos, organizaciones) con acceso a todo el personal, toda la documentación asociada y todos los equipos.

 

Dentro de la fase 9 del Ciclo existen dos conceptos claramente diferenciados: el hardware (parte 2 de la IEC-61508) y el software (parte 3).

 

2.2.2   Diseño de los Sistemas de Seguridades. Consideraciones Generales
 
Cuando nos enfrentamos ante un Sistema de Seguridades debemos fijar unos criterios básicos de diseño que serán vitales en las fases posteriores:
  • ¿Qué Tecnología utilizar? : Relés, Estado Sólido, Microprocesador
  • ¿Qué Niveles de Redundancia? ¿Depende de la Tecnología o del Nivel de riesgo?
  • Dispositivos de campo: ¿Digitales o Analógicos? ¿Redundantes? ¿Cada cuánto deben ser probados? ¿Depende de la aplicación, tecnología o del nivel de riesgo?
  • Pruebas periódicas: ¿Cada cuánto? ¿Depende de la tecnología, del nivel de redundancia o del nivel de riesgo?
  • ¿Tipos de fallos del Sistema de Seguridad?
  • Normativa: ¿Cuál aplicar?

 

 

En cualquier proceso existen muchos riesgos que pueden causar un accidente.

 

En la Figura 2-7 se muestran todas las posibles causas de un fallo.

 

 

Figura 2-7. Riesgos principales

Figura 2-7. Riesgos principales

 

 

 

2.2.3   Sistema de Control versus Sistema de Seguridad

 

Es algo reconocido por todos los expertos en seguridad y recomendado por todas las Normas que ambos Sistemas deben ser independientes. A pesar de todo todavía hoy encontramos técnicos o responsables de planta que no ven o no quieren ver la diferencia entre ambos sistemas y ponen intereses económicos o de otro tipo por encima de la seguridad de la planta.

 

Es obvio que el utilizar el mismo sistema para ambas funciones (control y seguridad) tiene ventajas (por ejemplo costo y mantenimiento) pero también es evidente que ello tiene muchos riesgos que esperamos aclarar en este capítulo.

 

Supongamos que el mismo Sistema de Control realiza también las funciones de protección y seguridad y que se produce una demanda de seguridad desde el proceso o caldera, por ejemplo, una repentina subida de presión dentro del hogar. El Sistema de Control debe actuar inmediatamente disparando la caldera, lo que conlleva, por ejemplo, el cierre de todas las válvulas de corte de combustible (SOV=Shut-off Valve).

 

¿Qué pasa si se produce un fallo en el Sistema de Control? Un fallo de este tipo no debe nunca impedir que la caldera alcance un estado seguro.

Figura 2-8. Demanda de seguridad

Figura 2-8. Demanda de seguridad

 

 

En la Figura 2-8 se muestra un claro y sencillo ejemplo de fallo peligroso.

 

Si durante la operación de la caldera se había producido un cortocircuito en una salida digital, ni el sistema ni el operador se habían enterado.

 

Aunque la CPU ordene el cierre de la válvula (desenergización) ésta no se producirá si el transistor de salida está cortocircuitado.

 

 

Figura 2-9. Fallo Activo y Pasivo

Figura 2-9. Fallo Activo y Pasivo

 

 

Ahora   supongamos   que   existe   un   Sistema   de   Seguridades   separado   e independiente.

 

El Sistema de Seguridades también podría fallar y por ello debe cumplir con ciertos criterios de diseño que lo diferencia enormemente del Sistema de Control.

 

 

Figura 2-10. Demanda de seguridad
Figura 2-10. Demanda de seguridad
 
El fallo a posición Segura es esencial. Deben minimizarse los "disparos sin motivo" o "fallos molestos".
Figura 2-11. Tipos de fallos
Figura 2-11. Tipos de fallos
 
Los tipos de fallos del Sistema de Seguridades o SIS (Safety Instrumented System, según la IEC-61508) son:
  • Fallo peligroso no detectado: es el peor, se evita con las pruebas periódicas o mejorando los autodiagnósticos
  • Fallo peligroso detectado: debe actuarse rápidamente
  • Modo degradado por fallo parcial del sistema redundante: es el mejor, la redundancia aumenta el costo de inversión pero reduce el costo total del ciclo de vida
  • Disparo falso: debe mejorarse el MTBF del sistema, puede inducir al abuso de los bypasses
  • La IEC-61508 realiza muchas consideraciones en relación a los fallos del SIS.
Por ejemplo, clasifica los componentes del E/E/PES en 2 grupos:
 
■   Componentes Tipo A
Los modos de fallo de todos los componentes están bien definidos y los componentes pueden ser totalmente probados y existe un buen histórico de datos de fallos (100.000 horas de operación en 2 años en 10 sistemas en diferentes aplicaciones).
 
Ejemplo: resistencias, relés.
 
■   Componentes Tipo B
Los modos de fallo no están bien definidos ó no todos los componentes pueden ser totalmente probados ó
no existe un buen histórico de fallos.
 
Ejemplo: microprocesadores.
 
A partir de esta clasificación y considerando el porcentaje de diagnósticos del equipo se establecen los niveles SIL que pueden alcanzarse.
 
La mayoría de los usuarios han tenido afortunadamente pocas experiencias de fallos en los PLC´s. Los típicos fallos del "watchdog" de la CPU o de una salida digital que no se energiza son conocidos por todos, pero muy pocos conocen a fondo la cantidad de posibles fallos que puede tener un PLC, muchos de ellos semi-ocultos y a veces difíciles de reconocer como fallos claros.
 
A título de ejemplo diremos que según la IEC-61508 ningún sistema basado en microprocesador puede tener un nivel superior a SIL3 aunque el porcentaje de autodiagnósticos sea del 99%.
Las diferencias principales entre el Sistema de Control y de Seguridades se muestran en el siguiente resumen:
 
 
Los Sistemas de Control son activos y dinámicos, de ahí que la mayoría de los fallos se autodetectan por sí solos. Los Sistemas de Seguridades son pasivos y estáticos por lo que muchos fallos permanecen ocultos. Necesitan ser probados manualmente o incorporar autodiagnósticos, algo que los PLC´s de propósito general apenas incorporan.
 
Combinar ambas funciones, control y seguridad, en un sólo sistema tiene ventajas: alimentación única, simplifica el mantenimiento y almacenaje de repuestos, facilita la formación del personal técnico y disminuye el costo. Sin embargo casi todas las Normas, Estándares y recomendaciones de los especialistas desaconsejan insistentemente esta combinación.
 
Si alguien decidiera ir contra estas recomendaciones debiera tener poderosas y documentadas razones para hacerlo. ¿Cómo se podría justificar en caso de accidente ante un jurado una decisión de este tipo?
Ambos Sistemas deben estar física y funcionalmente separados incluyendo los instrumentos y actuadores.
 
Figura 2-12. Niveles de Control
 
Figura 2-12. Niveles de Control
 
 
Los fallos por causas comunes deben evitarse (hardware, software, vibraciones, calor, errores de diseño, errores de mantenimiento, etc.).

 

 

 

 

José Carlos Villajulca

Soy un apasionado Ingeniero Electrónico especializado en Control, Automatizacion e Instrumentacion Industrial. Experimentado en el desarrollo, ejecución y gestión de proyectos asi como en la Operacion de sistemas automaticos.

Cualquier consulta hacerla en el Grupo de Facebook https://www.facebook.com/instrumentacionycontrol.net/ (unico medio para consultas)

Sitio Web: https://www.linkedin.com/in/josevillajulca/ Email Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.