Results

En todo sistema de seguridad lo que se pretende es alcanzar un sistema tolerante a fallos sin comprometer la seguridad del proceso. Un sistema tolerante a fallos es aquel que es capaz de continuar realizando la función de seguridad en presencia de uno o más fallos peligrosos en hardware.

La redundancia es la técnica usada para conseguir un sistema tolerante a fallos. El sistema más común de redundancia de hardware es la votación por mayoría. La votación es adecuada para fallos imprevistos que afectan a las acciones del sistema y se compensan con funciones redundantes que enmascaran el sistema. La redundancia del sistema vendrá definida por la arquitectura seleccionada para el sistema. La selección de arquitecturas es una actividad que debe ser definida durante el paso del diseño conceptual. La arquitectura tiene un fuerte impacto sobre la integridad de la seguridad del sistema.

Hemos de determinar qué nivel de redundancia requerimos para lograr el SIL objetivo y disponibilidad para todos los elementos que forman parte del SIS (sensores, revolvedor lógico y elementos finales). Un ejemplo de esto se puede dar en un SIS que requiera una arquitectura 1oo2 para alcanzar el nivel SIL requerido pero resulta que preocupa posibles paros molestos (spurious trip), en esta situación podemos elegir una estructura 2oo3 que mantiene el nivel integro de seguridad pero aporta una mayor disponibilidad.

Que 2 sensores fallen a la vez es difícil, pero puede producirse ya que existen los fallos de causa común y fallos sistemáticos que podrían afectar a varios sensores a la vez, Los fallos de causa común normalmente van asociados a factores externos como, calor, vibración, corrosión o errores humanos. Los errores sistemáticos son errores de diseño. Por lo que se recomienda que:

• Múltiples sensores vayan conectados al proceso en diferentes ramas.

• Múltiples sensores y equipos se alimenten de diferentes suministradores.

• La señal de los sensores y equipos hasta el SIS vaya por diferentes caminos. Otras recomendaciones que se pueden considerar en el diseño son:

• Uso de diferentes tecnologías para una misma medida (p.ej. flujo por placa de orificio y por medidor de turbina).

• Utilizar redundancia diversa (diferente tecnología, fabricante, diseño, software, etc.) con el fin de reducir la influencia de los fallos de causa común solo si es estrictamente necesario.

Como hemos dicho HFT indica la capacidad que tiene un componente o subsistema a realizar su función de seguridad incluso bajo alguna condición de fallo. Un nivel 1 de HFT significa que hay 2 equipos con una arquitectura tal que un fallo peligroso en uno de ellos no impide la acción de la función de seguridad.

En este contexto HFT N significa que N + 1 fallos hardware puede ocasionar la pérdida de la función de seguridad.

Redundancia es un término que se utiliza en automatización para conseguir, esencialmente, disponibilidad.

Repasemos el concepto de probabilidad de fallo en demanda. En sistemas sin diagnóstico el comportamiento de un sistema de seguridad se basa en la siguiente figura 7.5.8.1:

150

Figura 7.5.8.1 Probabilidad de comportamiento en un sistema sin diagnóstico

1 = +

+PFS Disponibilidad PFD

PFD: Probabilidad de que el sistema falle en forma peligrosa. Ante una demanda del sistema este no actuaría. Provoca una situación peligrosa.

PFS: Probabilidad de que el sistema falle de forma segura. Provoca paros molestos. Disponibilidad: Probabilidad de que el sistema realice con éxito la función para la que fue diseñado en el instante de tiempo requerido

Ligado a la evolución de los sistemas de seguridad, en un principio lo que se pretendía lograr era disminuir las probabilidades de fallo en demanda (PFD)1_{, mantener el}

sistema seguro y alcanzar el SIL meta especificado para cada función de seguridad. Con este fin se empezó a aplicar el concepto de redundancia.

Por otro lado también era necesario evitar los paros innecesarios (paros molestos o spourious trips) no producidos por una desviación real del proceso sino por algún fallo en modo seguro de algún componente y que llevan al paro de la planta con todos los inconvenientes que se pueden derivar, pérdidas económicas, condiciones de paro inestables, etc. En este caso también se recurre a la redundancia para aumentar disponibilidad. Un caso típico es utilizar fuentes redundantes de alimentación para aumentar disponibilidad. Son redundancias que están a la espera.

En el siguiente análisis utilizaremos siempre las ecuaciones simplificadas, sin tener en cuenta los efectos de los fallos de causa común, fallos sistemáticos y en sistemas con diagnósticos o sistemas con HFT > 1 la parte que debe ser añadida al PFD debida al tiempo de reparación del elemento en fallo (MTTR). Asimismo consideraremos sistemas fail safe que en seguridad considera desenergizar para situación segura.

1 _{PFD (Probabilidad de fallo en demanda): El sistema no actúa cuando se produce una demanda, existe}

una situación peligrosa en el proceso. PFS (Probabilidad de fallo seguro): El sistema de seguridad actúa sin razón alguna.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

151

Los principios de exclusión o tolerancias de fallos para subsistema1 _{individuales son:}

• Arquitectura 1oo1 (1 out of 1)

Ti

PFD=λ_D* (1) PFS =λ_S *Ti (2)

NOTA: Ver el capítulo 7.5.4.3 para ver cómo se llega a la ecuación simplificada de Probabilidad de Fallo:

PF

( )

t ≈λ*t

Utiliza un sistema de canal simple. Un fallo se traduce en la pérdida de la función de seguridad y en la parada del proceso. HFT = 0.

Fallo seguro: El contacto relé abre e interrumpe el suministro de energía a la electroválvula.

Fallo peligroso: Contacto relé soldado, imposible interrumpir el suministro de energía a la electroválvula.

• Arquitectura 1002

Para disminuir la probabilidad de fallo en demanda (fallo peligroso), una de las opciones por las que se optó fue duplicar y seriar el hardware. Para que el sistema falle en

1 _{Según IEC 61511 por subsistema se entiende cualquier elemento del sistema que puede ser otro}

sistema, bien de control o controlado, y puede incluir hardware, software e interacción humana. Un sistema incluye los sensores, los SPLC’s, los elementos finales, las comunicaciones y equipos auxiliares pertenecientes al SIS (cables, tubing, fuentes de alimentación, etc.)

152

demanda de forma peligrosa es necesario que fallen los dos canales. El sistema sólo necesita un canal para realizar la función de seguridad.

Si un canal falla el sistema se degrada a un sistema 1oo1, por lo tanto tiene un HFT=1.

De la aplicación de árbol de fallos llegamos a las siguientes ecuaciones:

(

)

2

*Ti

PFD= λD (3) PFS =2*

(

λs*Ti

)

(4)

Como λD y λS son < 0, vemos que este sistema es mucho más seguro que un 1oo1,

llegando a valores de SIL 3, pero duplica la probabilidad de fallo seguro, disponibilidad operacional baja, sistema molesto.

• Arquitectura 2oo2

Este sistema no es muy utilizado debido a que es un sistema poco seguro, aunque sea un sistema altamente disponible.

Del análisis del árbol de fallos llegamos a:

(

Ti

)

PFD=2* λD* (5)

(

)

2

*Ti

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

153

Como vemos no es un sistema seguro, ambos canales han de activarse para realizar la función de seguridad. Si un canal falla no se producirá la función de seguridad, se trata de una arquitectura con SIL 0. La disponibilidad operacional del sistema es alta.

De la misma manera que un sistema 1oo1 el fallo de uno de los canales implica la perdida de la función de seguridad, por tanto HFT=0.

• Arquitectura 2oo3

Con este sistema se busca aumentar la seguridad y a la vez aumentar la disponibilidad operacional de la planta, evitando el efecto de los paros seguros.

Con este sistema se requieren que al menos dos elementos coincidan para realizar la función de seguridad. Incrementa la disponibilidad operacional de la planta.

La función de seguridad de la planta sigue realizándose aun cuando si uno de los canales falla. Incrementa la disponibilidad de seguridad.

Análisis del árbol de fallos del sistema:

(

)

2

* *

3 Ti

154

(

)

2 * * 3 Ti PFS = λS (8)

La gran ventaja de este sistema es que tiene una tasa de fallo seguro (disparos en falso) mucho menor que un 1oo2, por lo que incrementa la disponibilidad de operación, aunque la probabilidad de fallo en demanda sea 3 veces mayor que un 1oo2, pero llega a obtener valores SIL 3.

Asimismo puede tolerar el fallo de uno de sus canales (HFT=1), degradándose en un sistema 2oo2 (SIL 0), que como hemos visto es el sistema más peligroso y por tanto un 2oo3 degradado debe repararse rápidamente.

Este sistema fue el más utilizado a finales de la década de los 70 y principios de los 80, hasta la aparición de los sistemas con diagnósticos en la década de los 90.

Lo que realmente se busca es un sistema con mejor disponibilidad que un 2oo3, y un mejor nivel de seguridad que un 1oo2 y con la capacidad de tolerar fallos sin comprometer la seguridad. Con la capacidad de diagnóstico lo que conseguimos es detectar fallos peligrosos que pasan a convertirse en fallos seguros, por lo que solo deberemos preocuparnos por los fallos peligrosos que el diagnóstico no puede detectar y que serán la base para calcular la seguridad del sistema.

Como se puede apreciar en las funciones instrumentadas de seguridad, los sensores, los resolvedores lógicos (PLC’s de seguridad en general) y los elementos finales deberán tener una tolerancia a fallo mínima para cumplir con los requisitos de seguridad. Asimismo hemos visto que la tolerancia a fallos representa un mínimo de redundancia requerida para satisfacer el nivel SIL meta de una función instrumentada de seguridad.

Con la aparición de los diagnósticos surge una nueva variable que nos indicará la efectividad del diagnóstico según la norma IEC 61511 parte 1. Se trata de la Fracción de Fallos Seguros (SFF) y se define como la razón entre la tasa promedio de fallos seguros más la tasa de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del sistema.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad 155 Dónde: DU DD SU SD DD SU SD SFF λ λ λ λ λ λ λ + + + + + = (9)

Como vemos las tasas de fallos pasan a ser 4: λDU: tasa de fallo peligroso no detectable.

λDD: tasa de fallo peligroso detectable.

λSU: tasa de fallo seguro no detectable.

λSD: tasa de fallo seguro detectable.

%SAFE: ratio de fallos que son fail-safe.

λD: tasa de fallo peligroso. λD =λTOTAL∗

(

1−%SAFE

)

(10) λS: tasa de fallo seguro. λS =λTOTAL∗%SAFE (11)

La capacidad de diagnóstico es medida por el factor de cobertura C, que representa el porcentaje de fallos que pueden ser detectados:

CS: Factor de cobertura de fallos seguros.

CD: Factor de cobertura de fallos peligrosos.

Por tanto: S S SD =λ ∗C λ (12)

(

S

)

S SU =λ ∗ 1−C λ (13) D D DD =λ ∗C λ (14)

(

D

)

D DU =λ ∗ 1−C λ (15)

Ejemplo. Si tenemos un transmisor con una tasa de fallo de 500E-9 fallos por hora, con un 62 % de fallos fail-safe, con factor de cobertura para fallos seguros del 74% y para fallos peligrosos del 96%. ¿Qué tasa de fallos tendrá el transmisor? ¿SFF del transmisor? ¿Qué SIL puede lograr dependiendo de la tolerancia a fallo hardware dispuesto?

9 500 − = E TOTAL λ %SAFE = 0.62 (62%) CS= 74% CD= 96% 310 9 310 62 . 0 9 500 % = − ∗ = − = ∗ = TOTAL SAFE E E S λ λ FIT1

1 _{FIT: unidad fallos en tiempo. Indica el máximo de fallos en componentes por cada 10}9 _{horas de}

156

(

1−%

)

=500 −9∗

(

1−0.62

)

=190 −9=190 ∗ = TOTAL SAFE E E D λ λ FIT 4 . 229 74 . 0 310∗ = = ∗ = S S SD λ C λ FIT

(

1−

)

=310∗

(

1−0.74

)

=80.6 ∗ = S S SU λ C λ FIT 4 . 182 96 . 0 190∗ = = ∗ = D D DD λ C λ FIT

(

1−

)

=190∗

(

1−0.96

)

=7.6 ∗ = _{D D} DU λ C λ FIT 9848 . 0 500 4 . 182 6 . 80 4 . 229 = + + = + + + + + = DU DD SU SD DD SU SD SFF λ λ λ λ λ λ λ 98% Con SFF = 98% y tratándose de un dispositivo tipo B podemos decir:

(Ver apartado 7.5.8.1 HFT según norma IEC 61511 y IEC 61508 de este capítulo) Indicar que todos los datos de tasas de fallos, ratios de cobertura de diagnósticos, SFF, etc. son datos básicos que han de proveer los fabricantes bien por Análisis de Modos de Fallos, Efectos y Diagnósticos (FMEDA) o por equipos de “uso previo”, para poder ser utilizados en seguridad y son parámetros requeridos para la verificación SIL. Se recomienda utilizar equipos certificados por un organismo independiente (TUV, FM) que justifique que cumple los criterios de la norma IEC 61508.

• Arquitectura 1oo1D

Se trata de un sistema de un único canal que incluye el autotest y un paro secundario controlado por los diagnósticos que convierten un fallo peligroso en seguro. Salida es fallo seguro. Analizando el sistema: SU SD DU DD λ λ λ λ λ= + + + (16)

Los fallos seguros no afectan a la seguridad de la planta aunque sean molestos e impliquen un paro de proceso y con los diagnósticos somos capaces de detectar los fallos

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

157

peligrosos que se produzcan en el sistema e inhiben la capacidad de actuación en caso de demanda. Por tanto con diagnósticos podemos decir:

DU λ λ =

Como los fallos que pueden ser detectados dependen del factor de cobertura y es un dato dado por el fabricante se deduce que:

(

D

)

D DU =λ * 1−C λ (17)

(

S

)

S SU =λ *1−C λ (18)

Como más se acerque el factor de cobertura a 1 para fallos en demanda, más bajo será el valor de PFD. El sistema fallará cuando ocurra un fallo en demanda no detectado.

Ti

PFD=λ_DU * (19) Ti

PFS =λ_SU * (20)

Con un sistema 1oo1D normalmente podemos alcanzar valores de SIL 2 dependiendo del factor de cobertura de que dispongan, aunque cada vez más con los equipos SMART (inteligentes) con una alta disposición de diagnósticos podemos lograr alcanzar SIL superiores.

Para obtener valores de SIL 3 debemos ir a arquitecturas 1oo2D.

• Arquitectura 1oo2D

Se trata de un sistema de dos canales que incluyen el autotest y un paro secundario controlado por los diagnósticos que convierten un fallo peligroso en seguro. Salida es fallo seguro.

La función es idéntica al 1oo1D pero incrementando la disponibilidad de seguridad y de operación.

Para que se produzca una fallo peligroso los dos canales deben fallar en forma peligrosa, es decir los diagnósticos de ambos no deben haber detectado fallos peligrosas, por tanto son fallos no detectados (DU) peligrosos. Notar que siempre hay un canal

158

calculando y otro verificando, por lo que cualquier variación entre ambos canales será detectada por los diagnósticos que abrirán el circuito y avisarán del evento. Es decir el valor de PFD 1oo2D es el producto del elemento que calcula y el que verifica.

(

)

2 * Ti PFD= λDU (21)

(

)

(

)

2 * 1 * C Ti PFD= λ_D − _D (22) De forma similar:

(

Ti

)

PFS =2* λ_SU * (23)

(

C

)

Ti PFS =2*λ_S * 1− _S * (24)

Con esta arquitectura se alcanzan niveles de integridad SIL 3. Esta arquitectura al degradarse por falla peligrosa se convierte en un 1oo1D, se degrada a un nivel SIL 2.

Como vemos con la aparición de los diagnósticos se logran sistemas mucho más seguros teniendo un fuerte impacto en la PFD y la disponibilidad del sistema. Los diagnósticos sólo tienen sentido si van acompañados de un buen sistema de alarmas y de una reparación rápida del componente en fallo. El diagnóstico condujo a nuevas arquitecturas que permiten la reconfiguración del sistema una vez el diagnóstico ha detectado un fallo, ello lleva a configuraciones muy efectivas al proveer de valores muy bajos de PFD y PFS, asimismo conseguir una mayor disponibilidad y en el caso de un 1oo2D tener un HFT=1.

Ya en los años 2000 aparece lo que se denomina la 3ª generación de sistemas de seguridad. Se trata de sistemas con un altísimo nivel de diagnósticos que permiten factores de cobertura de diagnóstico del 99.9%, lo que permite alcanzar seguridad independiente de redundancia y votación. En estos casos la redundancia es opcional y se utiliza para alcanzar disponibilidad. Son sistemas altamente modulares y escalables con una alta integración en el DCS, hasta ahora el concepto era de separación entre DCS y SIS, con esta nueva generación de sistemas este concepto está cambiando. Alcanzan certificaciones TÜV de SIL 3 según los estándares IEC 61508. Como se indicó en el capítulo 7.5.5 ejemplo de estos sistemas son: SIMATIC S7 400 F/FH de Siemens, Delta V SIS de Emerson, 2oo4D FSC Release de Honeywell y ProSafe-RS de Yokogawa.

Se trata de arquitecturas FMR (Flexibles Modulares Redundantes).

Analizando la eq. (17) y la eq. (19) de un sistema 1oo1D llegamos a la expresión:

(

D

)

i

D C T

PFD=λ * 1− * (25)

A medida que los diagnósticos son mayores el factor de cobertura se acerca al 100%, D

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

159

peligrosos detectados se convierten en fallos seguros por lo que el nivel de seguridad SIL de una función dependerá de la tasa de fallos no detectados (λ ). Si este valor es pequeño _DU podemos llegar a nivel SIL 3, y si es tan pequeño que duplicándolo sigue estando en los valores de SIL 3 podemos decir que cualquier arquitectura que se diseñe con este elemento Hardware se mantendrá dentro del SIL 3. Es decir que podemos tener elementos redundantes en cualquier sistema sin afectar la seguridad y aumentando la disponibilidad (ver arquitectura 2oo2). Las arquitecturas FMR permiten múltiples fallas y poder trabajar en modo degradado sin afectar el nivel de integridad de seguridad funcional original, aun siendo este SIL 3. Ejemplos de esta arquitectura:

• Simatic S7 400 F/FH de Siemens:

Figura 7.5.8.3 Ejemplo de FMR de Simatic S7 400 F/FH

Se trata de un sistema modular a todos los niveles. Los módulos están separados físicamente del controlador y conectados por un bus de comunicaciones estándar certificado por TÜV para usos en seguridad funcional (Profisafe DP). Este bus permite la comunicación de cada componente con todos los demás.

El sistema puede tolerar múltiples fallas en diferentes componentes sin comprometer la seguridad y sin parar la planta.

Una arquitectura que puede optar este sistema puede ser:

160

1. Cada componente de cada elemento Hardware puede separarse físicamente de los demás (minimiza causa común) y tiene capacidad de diagnóstico independiente y certificado a nivel SIL 3.

2. Tiene un valor de disponibilidad segura independiente de redundancia ya que tiene un factor de cobertura altísimo.

3. Cada componente utiliza más de un medio y procedimiento para intercambiar información con los demás.

Después de producirse 4 fallos, esta arquitectura continuará funcionando con su nivel integral de seguridad inicial.

Figura 7.5.8.5 después de 4 fallos el sistema sigue manteniendo la seguridad funcional.

Por tanto con esta configuración se trata de un sistema que tolera 4 fallos hardware HFT=4.

Para más información consultar la página web http://www.automation.siemens.com.

• Delta V SIS de Emerson:

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

161

Se trata de un sistema altamente integrado con el DCS con un nivel de integración común con el DCS DeltaV, utiliza la misma estación de ingeniería y estaciones de operación que el DCS DeltaV. La arquitectura simple ya cumple con SIL 3 y está certificada por TÜV, por lo que el equipo redundante no es necesario para aplicaciones con requerimientos de SIL 3. Los diferentes módulos se conectan usando una red redundante de alta velocidad (High Speed SIS net). De la misma forma que el sistema Simatic S7 400 F/FH tiene una tolerancia a fallos elevada, que depende de la configuración optada.

Constantemente realiza una función de supervisión del buen estado de la función instrumentada, desde el instrumento de medida hasta el elemento final. Para mayor información consultar la página web www.emersonprocess.com\DeltaVSIS.

Resumen evolución tecnología:

Ejemplo. Una compañía determina que para cierta aplicación con SIL 3 requiere de 2 transmisores certificados según la norma IEC 61508.

Concepción tradicional sobre la funcionalidad del lazo indicaría que dispare la función de seguridad si se supera el punto de disparo de cualquiera de las 2 lecturas. (1oo2).

Concepción moderna sobre la funcionalidad del lazo mejora la disponibilidad y la seguridad. Dispara la función de seguridad cuando una de las lecturas supera el punto de disparo y la señal de lectura es correcta o cuando el estado de los 2 transmisores es defectuoso. Nos da una alarma pero no disparo cuando existe un cortocircuito o fallo de un

In document EXTRACTION OF UNCONSTRAINED CAPTION TEXT FROM GENERAL-PURPOSE VIDEO (Page 48-58)