Procesos Seguridad funcional en plantas de proceso: sistemas instrumentados de seguridad y analisis SIL Por Gabriela Reyes Delgado y Victoriano Macias Jaén Dpto. Seguridad Industrial Inerco [es eee proceso que almacenan, proce- san y generan sustancias peligrosas, tienen asociado un determinado nivel de riesgo, dado que existe la posibili- dad de inducir consecuencias adver- sas sobre receptores vulnerables (per- sonas, bienes materiales y medio am- biente), como resultado de los efectos dafinos (térmicos, fisicos y/o quimi- cos) originados por sucesos incontro- lados en sus instalaciones. Estos riesgos potenciales exigen ser los sistemas fuego-gas, los siste- mas de alivio, de proteceién fisica, la respuesta de la planta ante emergen- cia o la respuesta de la poblacién ante emergencia. Las medidas de seguridad 0 capas de proteccién més adecuadas a adop- tar en las instalaciones se derivarén de Ia elaboracién de un anélisis de riesgos especifico en las mismas, me- diante Ia aplicacién de una o varias técnicas de identificacién de riesgos. Existe una gran variedad de técni- cas de identificacién de riesgos, tales como bases de datos de accidentes, andlisis de peligros y operatividad (HAZOP), andlisis “what if?", listas de chequeo, andlisis de los modos de fallo, efectos y consecuencias (FC- MEA), andlisis mediante érboles de fallo y arboles de suceso, ete. La tée- nica de identificacién seleccionada dependeri de los propésitos pers guidos con la identificacién de ries- {g08, asf como de los datos y recursos disponibles. En este sentido, la metodologta HAZOP se presenta como una de las técnicas més rigurosas y estructurada para Ia identificacién de los peligros asociados a una planta de proceso. La aplicacién prineipal de esta técnica se encuentra en la identificacién de ries- Respuesta poblacién ante emergencia ‘Respuesta planta ante emergencia ‘Sistemas mitiga scion que estas plantas adopten estrictos criterios tanto en el disefio de las ins- talaciones y equipos, como en la adopcién de medidas de seguridad. Dichas medidas de seguridad se tra- ducen en miltiples capas de protec- cién de las instalaciones. Cada capa de proteccisn esti com- puesta de equipos y/o procedimien- tos de control que actiian conjunta- mente con otras capas de proteccién para controlar y/o mitigar los riesgos de los procesos, Las capas de proteccién (figura 1) se pueden dividir en: + Aquéllas destinadas a prevenir el accidente, como pueden ser el sis- tema de control, las alarmas eriticas, Jas actuaciones por parte del operador y los sistemas instrumentados de se- guridad (SIS) + Aquéllas destinadas a introducir medidas de mitigacién, como pueden Fig. 1. Capas de proteecién en instalaciones de proceso 70 OILGAS - MAYO, 2005Procesos caso de incendio 0 fuga de gas en las instalaciones. De esta forma, y como continuacién de la elaboracién de un estudio HAZOP, el andlisis SIL (Sa- fety Integrity Level) permit evaluar cual ee es el nivel de seguri- dad exigible a los distintos sistemas instrumentados de seguridad y sistemas fuego-gas de las ins- reco |) 9 ano Fig, 3. Sitemas fuego-gas 05 en las primeras etapas del disefto, al ser el mejor momento para introdu- cit cambios 0 modificaciones, dado que los resultados son recomendacio- nes de mejora que modificarn el di- sefio final de los equipos o sistemas. Entre otras medidas de seguridad © capas de proteccién que se deriva- rin de la aplicacién de una metodo- logla HAZOP, cabe destacar la im- plementacién de sistemas instrumen- tados de seguridad (SIS) 0 sistemas de “interlocks” (figura 2) que condu- cen a la planta a estado seguro cuando se vulneran unas condiciones predeterminadas, asi como de siste- mas fuego-gas (F&G) (figura 3) que activan medidas de mitigacién en talaciones, asi como Pionrmacow verificar que éstos aan, cumplen los requisi- tos establecidos en la eens normativa de aplica- cidn de acuerdo a di- cho nivel indice SIL (Safety Integrity Level) ‘A continuaci6n, se definiré el con- cepto y analizaré la necesidad de de- sarrollar un andilisis SIL en instala- ciones de proceso. Para ello, estudiaremos la evolu- cién de un pardmetto de proceso (pre- sin, temperatura, caudal, nivel, ete) con respecto al tiempo, y el compor- tamiento de dicha evolucién cuando en el proceso aparecen causas de fallo que generan desviaciones de dicha variable respecto a sus condiciones normales de operacién, Analizando como ejemplo el con- trol de nivel en un equipo de proceso, las distintas capas de proteccién ins- ‘rumentadas para el control de dicha variable se muestran en la figura 4, y se resumen a continuaci6n: Actuacién del sistema de control En caso de comportamiento normal del nivel a lo largo del tiempo, el sis- tema de control del proceso harfa evo- lucionar a dicha variable entre sus va- lores normales de operacién. Si en el proceso aparecen causas que generan una desviacién de dicho pardmetro, el nivel alcanzarfa un valor tal que el sis- tema de control activarfa una alarma de alto nivel que avisarfa que dicho pardmetro se encuentra fuera de sus valores normales de operacién, Actuacién del operador Si el operador detecta esta situacién ‘anémala, deberd realizar las actuacio- nes operativas necesarias tendentes a disminuir el nivel en el equipo. En caso de que el operador, bien no de- tecte la alarma de alto nivel o bien no realice las actuaciones correctas, el ni- vel seguiria aumentando hasta legar al punto de enclavamiento o punto de trip. Actuacién del sistema instrumentado de seguridad Una vez que el SIS detecta que la variable de proceso ha aleanzado el punto de enclavamiento, éste reali- zara las actuaciones correctas para cconducir las instalaciones a estado se~ guro. En. caso de que no se disponga BCBG OCC C CUT ee CUE LOCC RC uC) Si_Consecuencias DisPowsiuDaD REOUERIDA (%) PFD menue? 4 _Daios catasrRGricas EN et EXTERIOR > 99.99 10° 10" Daios HuNANOS EN EL NTEROR Y DANOS EN EL EXTEROR 99,90 -99,99 10*- 10° Daios MATEMALES ¥ POSBLES DANS HUMMANOS EN EL INTERIOR 99,00-99,90 108-10? eauetios oaos WATERIALES EN EL IVTERIR 80,00 -99,00 10-107 1 Elindice SIL = hasta SIL = 3 2 Probabilidad de fallo en demanda media OILGAS - MAYO, 2005 sélo se contempla en los estdindares IEC 61508/61511, pero no en el estandar ANSI/ISA-S84, que sélo contempla nmde SIS en las instalaciones, o bien se disponga del mismo pero no acttia 0 Io hace incorrectamente, se generaré en el proceso una situacién de riesgo que finalmente puede provocar la ocurren- cia de un accidente grave en las insta- laciones. Actuacién del sistema fuego-gas En caso de que se de Ia ocurrencia de un accidente en las instalaciones, el sistema fuego-gas detectard la posi ble aparicién de una situacién de in- cendio o fuga de gas en la planta y ac- tivaré los sistemas de mitigacién (cor- tinas de agua, rociadores, ete) ado que los sistemas instrumenta- dos de seguridad asi como los sistemas fuego-gas, constituyen medidas de se- guridad que deben actuar en caso de fallo del contro! det proceso y de una actuacién incorrecta por parte del ope- rador, dichos sistemas deben disponer de unas condiciones de seguridad y iabilidad suficiente que garanticen su correcto funcionamiento cuando se les demanden, El andlisis SIL (figura 5) permitiré evaluar cual es el nivel de se~ guridad exigible a estos sistemas, asf ‘como verificar que éstos estan confor- mesa dicho nivel. Tal y como se muestra a continua- ci6n, el indice SIL presenta una come- laci6n directa de las consecuencias asociadas al fallo del sistema y la pro- babilidad de fallo en demanda del mismo: Normativas y estandares A continuacién, se resumen los es- tindares y normativas de referencia existentes en materia de seguridad funcional de los procesos: ANSI/ISA-S84.01-1996: "Application of Safety Instrumented Systems for the process industries" Es una norma de la "American Natio- nal Standards Instiute” en la que se esta- blece una base para el disefio de Siste- ‘mas Instrumentados de Seguridad en ta 72 Procesos ad industria de proceso, incluyendo tecno- logfa eléctrica, electrénica y electrinica programable, Establece asimismo cuales son los pasos en el ciclo de vida de un SIS desde su concepcin inicial hasta el desmontaje del mismo, Esté dirigida fundamentalmente al personal que part cipa en el desarrollo y fabricacién de los SIS, en la instalacién, en el commissio- ning y en todas las otras fases del ciclo de vida de un sistema de seguridad, IEC 61508: "Funcional Safety of electrical/electronie/programmable electronic safety related systems" Es un esténdar de la "International Electrotechnical Commission” en el que se establece una base para el uso de dispositivos eléetricos y/o electrénicos pprogramables en el diseiio de sistemas, instrumentados de seguridad en aplica- ciones médicas, de transporte, en indus- tria de proceso, ete. Establece asimismo ccuales son los pasos en el ciclo de vida de un SIS desde su concepcién inicial hasta el desmontaje del mismo. Esté di- rigida al personal involucrado en cusl- quier fase del proyecto desde el con- cepto hasta la explotacisn. IEC 61511: "Funcional Safety of electrical/electronic/programmable electronic safety related systems for the process industry sector” Es un esténdar de la "International Electrotechnical Commission” en el Alarms de ato rivet que se establece una base para el uso de dispositivas eléctricos y/o electn’- nicos programables en el diss Sistemas Instrumentados de S dad en la industria de proceso. Esta- blece asimismo cuales son los pasos en el ciclo de vida de un SIS desde su concepeién inicial hasta el desmon- taje del mismo. Esté dirigida funda- mentalmente al usuario final de los sistemas de seguridad. En el siguiente punto se establecen cuales son los principales requerimien- tos que establecen las normas citadas para el disefio y evaluacién de siste- ‘mas instrumentados de seguridad, Ciclo de vida de un sistema instrumentado de seguridad. Disefio y evaluacién de un SIS Las normativas y estdndares sobre seguridad funcional, ANSI-ISA-S84 TEC-61511/61508 establecen las distin- tas etapas a cubrir en el Ciclo de vida de seguridad de un sistema instrumen- tado de seguridad, desde la concepcién inicial del mismo hasta su desmontaj. Las distintas etapas a considerar se es- ‘quematizan en la figura 6, Tal y como puede observarse, den- tro de las etapas del ciclo de vida de seguridad, debe realizarse la asigna- cidn o definicién del indice SIL para todos los sistemas instrumentados de seguridad de las instalaciones, consi- derando no sélo los definidos en Ia in- ‘omues iprosese St river Tiempo ——> Fig. 4 capas de proteccién insirumentadas en el control de wna variable de proceso CILGAS - MAYO, 2005Procesos genierfa bisica y de detalle sino tam- bién los que se introducen nuevos como consecuencia del estudio Hazop desarrollado para las instalaciones en. cuestién. De entre las metodologias para ¢ cular el indice SIL reflejadas en los estandares y normativas IEC 61508/61511 y ANSI-ISA-S84, el andlisis LOPA (Layer of Protection Analysis; Andlisis de la Capas de Proteccién) se presenta como la té&- nica mas exhaustiva por su carécter cuantitativo. Dicha técnica constituye un andl sis objetivo de las distintas capas de proteccién de que dispone un pro- ceso, evaluando el riesgo del mismo y compardndolo con el eriterio de riesgo tolerable definido por la pro- piedad, para decidir si las capas de proteccién son adecuadas 0, por el contrario, si es necesario mejorar las existentes o introducir capas adicio- nales. Por todo ello, el anslisis LOPA se presenta como una técnica que permite una comparacién directa de la contribucién de las distintas capas de proteccién del proceso a la reduc- cién del nivel global de riesgo. Una vez asignado 0 calculado wn fn- dice SIL para los sistemas instrumenta- dos de seguridad, debe verificarse que el disefio de los mismos se adapta al ni- vel de seguridad establecido, de acuerdo a los requerimientos de las normativas sobre seguridad funcional. En este sentido, los sistemas instru- ‘mentados de seguridad deben garanti. zat una probabilidad de fallo en de~ ‘manda (PFD) acorde al indice SIL es- tablecido o calculado (tabla 1). Los distintos componentes del SIS (sensor, l6gica y actuador) deben tener una PED tai que la PFD del sistema global sea inferior a la recogida en la tabla 1 La probabilidad de fallo en de- manda de un SIS se obtendré apli- cando algebra de Boole a partir de las PED de los distintos elementos que conforman el sistema (sensor, légica y actuador). A su vez, estas probabilida- des individuales son funcién de las si- guientes variables: 74 + Parémetros de disefto: ~ A: Tasa de fallo, - C: Tasa de autodiagnéstico. + Parémetros de mantenimiento: - T: Perfodo de prueba, - MTTR: Tiempo medio para repa- racin, Se deben por tanto ajustar estos pardmetros para cada uno de los ele- ‘mentos del SIS, sensor, Iégica y ac- tuador, para garantizar la PFD del sistema global de acuerdo al indice SIL calculado. En caso de que la PFD global se encuentre por encima de la exigible para el SIL en cuestién, se deberdn mejorar los siguientes aspectos: + Los pardmetros de disefio de los elementos del SIS (I menores y C mayores). + Los pardmetros de manteni- miento (Ty MTTR menores). + El disefio del SIS mediante la im- plementacién de elementos redun- dantes (NooM), aumentando ademiis de esta forma la disponibilidad del proceso. Asimismo, en el disefio del sistema instrumentado de seguridad debe ve- rificarse que dispone de una configu- raciGn o arquitectura determinada, en cuanto a independencia respecto al sistema de control de sensores, I6gica y actuadores del SIS, para dar cum- plimiento al indice establecido, Conclusiones Las instalaciones industriales de pro- ‘ceso que almacenan, procesan y gene- ran sustancias peli- resultado de los efectos dafinos (tér ios, fisicos y/o quimicos) origina- dos por sucesos incontrolados en sus instalaciones. Estos riesgos potenciales exigen que estas plantas adopten estrictos criterios tanto en el disefio de las instalaciones y equipos, como en la adopcién de medidas de seguridad. Las medidas de seguridad 0 capas de proteccién mas adecuadas a adoptar en las instalaciones se deri- varin de la elaboracién de un anéli- sis de riesgos especifico en las mis- mas, mediante la aplicacién de una © varias técnicas de identificacién de riesgos. En este sentido, la meto- dologia HAZOP se presenta como tuna de las técnicas mas rigurosas y estructurada para Ia identificacién de los peligros asociados a una planta de proceso. Entre otras medidas de seguridad que se derivardn de la aplicacién de una metodologia HAZOP, cabe des- tacar la implementacién de sistemas instrumentados de seguridad o siste- mas de "interlocks", que conducen a la planta a estado seguro cuando se vulneran unas condiciones determi- nadas, asi como de sistemas fuego- gas que activan medidas de mitiga- cién en caso de incendio o fuga de gas en las instalaciones, Dado que los sistemas instrumenta- dos de seguridad asf como los siste- mas fuego-gas, constituyen medidas de seguridad que deben actuar en cas0 de fallo del control del proceso y de tuna actuacién incorrecta por parte del ‘operador, dichos sistemas deben dis- poner de unas condiciones de seguri- dad y fiabilidad suficiente que garan- grosas, tienen aso- lo un determinado nivel de riesgo, dado {que existe la posbili- dad de inducir conse- cuencias adversas so- bre receptores vulne- rables (personas, bie~ nes materiales y me~ dio ambiente), como Fig 5 Indices ST (Safety Tegrity Level OILGAS - MAYO, 2005ticen su correcto funcionamiento cuando se les demanden. El anélisis SIL, que se elaboraré como continua- cidn de Ia elaboracién de un estudio HAZOP, permitiré evaluar cual es el ni- vel de seguridad exigible a estos siste- mas, asi como verificar que éstos cum- plen los requisitos establecidos en los estndares ANSI/ISA-S84.01-1996 © TEC 61508/61511 de acuerdo a dicho nivel. La aplicacién del andlisis SIL a ins- tulaciones de proceso permitiré al in- dustr + Incrementar la seguridad de las instalaciones. * Detectar las necesidades de segu- ridad de los distintos procesos indus- trials. + Verificar los niveles de seguridad de las distintas capas de proteccién implantadas en las instalaciones. + Disefiar un ciclo de vida para las distintas funciones instrumentadas de seguridad. Procesos Peart rer (HazoP) Eats Bry oss Peas Ens) Cees eae Doras MANT. YTEST ray ce fa + Peer Fig. 6 ciclo de vida de un sistema instrumentado de seguridad + Disefiar ¢ implantar un plan de ‘mantenimiento y prueba de los Siste- ‘mas Instrumentaclos de Seguridad, + Adecuarse a las normativas ANSI/ISA-S84.01-1996 ¢ IEC 61508/ 61511 sobre Sistemas Instrumentados de ‘Seguridad y Seguridad Funcional + Cumplir recomendaciones de las compaiias de seguros, obte- esd compatifas de segu niendo de esta forma disminuciones en la contratacién de las pélizas de seguros. * Cumplir requisitos de las licen- ciatarias del proceso, en los casos en los que exijan a la propiedad la adap- tacién a las normativas sobre seguri- dad funcional, con objeto de no per- der garantfas, =