martes, 29 de enero de 2019

Relación entre Interlock, Función de Seguridad, SIF y Permisivos en Seguridad Funcional

PLANTILLA
SISRelación entre Interlock, Función de Seguridad, SIF y Permisivos en Seguridad Funcional

En la industria de procesos los Interlocks, Funciones de Seguridad, Funciones Instrumentadas de Seguridad (SIF) y Permisivos son utilizados en algunos de los controles empleados para evitar eventos peligrosos que representan un riesgo para la seguridad; sin embargo, es común que las personas tiendan a confundir estos términos como sinónimos. Este artículo está destinado a aclarar, tanto su significado en el marco de la seguridad funcional como la relación entre los mismos.

Comencemos mostrando algunas de las definiciones asociadas al término Interlock:
  1. Función que detecta una condición fuera de límites, anormal o una secuencia incorrecta y detiene una acción adicional o inicia una acción correctiva (Guidelines for Engineering Design for Process Safety [modified from "interlock system"]).
  2. Función que inicia una o varias acciones predefinidas en respuesta a una condición específica (CCPS-Guidelines for Safe and Reliable Instrumented Protective System).

Cuando llevamos estas definiciones a la industria de procesos, nos referimos a un Interlock para describir una función que, al detectar una o varias condiciones anormales (desviación del proceso o de control), ejecuta una o varias acciones para evitar que un evento ponga en peligro a un equipo, sistema o proceso (según sean definidos).

En seguridad funcional, la normativa ANSI/ISA-84.01-1996 sólo utilizaba como referencia el término Interlock para facilitar la comprensión de los nuevos términos introducidos en la misma, por ejemplo:
  • Cláusula 3.1.53 - Otros términos utilizados para el Sistemas Instrumentados de Seguridad (SIS) incluyen Sistema de Parada de Emergencia (ESD, ESS), Sistema de Parada de Seguridad (SSD) y Sistema de Interlock de Seguridad.
  • Cláusula 7.2.3 - El SIS puede contener uno o más Interlocks o funciones de seguridad.

    Posteriormente, este término fue rechazado por el Panel de Normas de la ISA 84, siendo remplazado en las normativas actuales (ISA 61511 /IEC61511 /IEC 61508) por “Función de Seguridad”, definiéndolo como:
  1. Función que debe ser implementada por una o más capas de protección, cuyo objetivo es lograr o mantener un estado seguro para el proceso, con respecto a un evento peligroso específico” (61511-2016, 3.2.65).
  2. “Función que debe ser implementada por un sistema E/E/PE relacionado con la seguridad u otras medidas de reducción de riesgos, cuyo objetivo es lograr o mantener un estado seguro para el equipo bajo control (EUC), con respecto a un evento peligroso específico” (IEC 61508-2010, 3.5.1).
Sin embargo, se debe aclarar que a pesar que el término Interlock fue remplazado en la normativa por “Función de Seguridad”, no necesariamente significan lo mismo. Un Interlock sólo puede estar representado por funciones activas (sistema mecánico, de control o instrumentado) y puede ser definido para proteger un sistema, equipo o proceso. En cambio, una Función de Seguridad puede ser representada por diferentes capas de protección, ya sean funciones activas (una válvula de alivio o una función automatizada) o elementos pasivos (dique de contención o aislamiento térmico), en función de proteger un escenario peligroso especifico.

En caso de que una Función de Seguridad sea asignada al Sistema Instrumentado de Seguridad (SIS) durante el Análisis de Peligros y Riesgos (PHA), la función se convierte en una Función Instrumentada de Seguridad (SIF). En este momento, el sector de la industria de procesos define el término SIF como:
  1. Función de seguridad con un nivel de integridad de seguridad especificado que es necesario para lograr la seguridad funcional (ANSI / ISA-84.00.01-2004-1, cláusula 3.2.71). 
  2. Función de seguridad a ser implementada por un Sistema Instrumentado de Seguridad (SIS) (IEC 61511-1: 2016 - 3.2.66). 
   Para verlo de manera clara, se puede describir una SIF como una función relacionada con la seguridad que tiene por objeto prevenir o mitigar un peligro de proceso específico, mediante el uso de instrumentos y controles como son sensor(es), solucionador(es) lógico(s) y elemento(s) final(es). Cada función asociada a la seguridad y definida como una SIF debe cumplir con las siguientes características:
  • Debe ser diseñada para proteger de un escenario peligroso específico.
  • Debe actuar en un tiempo específico, dentro del tiempo de seguridad del proceso.
  • Deben asegurar que se lleve al proceso a su estado seguro, por lo que a menudo actúan de forma automática.
  • Deber pertenecer al Sistema Instrumentado de Seguridad.
  • Cada SIF debe tener asignado un Nivel de Integridad de Seguridad (SIL). Este es una característica única de la SIF, es decir, solo ella posee SIL, no el instrumento, no el proceso, no la planta, no el controlador. Solo la SIF posee un SIL determinado.
Como vemos, una Función de Seguridad que pertenece al SIS es representada por una SIF, y una SIF puede ser representada por un Interlock, siempre y cuando cumpla con todas las características de una SIF. A su vez, un Interlock puede ser representado por una o más SIF, o por una Función de Seguridad que sea automatizada.  

Adicionalmente, otro término que es comúnmente usado en la industria es el de Permisivos, algunas de sus definiciones son:
  1. Concesión de autorización para hacer algo (Collins Concise English Dictionary).
  2. Condición dentro de una secuencia lógica que debe cumplirse antes de que se permita que la secuencia pase a la siguiente fase (ANSI / ISA-84.01-1996, Cláusula 3.1.36).
El Permisivo es normalmente referido a una parte de la lógica que requiere que se cumpla una condición especifica de permitir una acción de proceso adicional y se usan a menudo para reducir la posibilidad de que un error humano cause un evento peligroso. Por ejemplo: cierre de una válvula específica antes de abrir otra o manejo del nivel de operación normal de un tanque, antes de la activación del sistema de bombeo.

Para cerrar, describiremos un ejemplo que nos muestre de manera simple la relación entre estos cuatro términos.
ssss
Figura 1. Sistemas de Bombeo de Crudo provenientes del tanque de almacenamiento TK-51 a través de las bombas centrifugas P-51A/B.

Comencemos identificando el Interlock encargado de proteger el sistema de bombeo, el cual puede estar relacionado a una serie de desviaciones y acciones, por ejemplo:

Desviaciones:
  • Bajo nivel en el tanque TK-51, a través del transmisor de nivel LZT-52.
  • Baja presión de succión de las bombas P-51A/B, a través del transmisor de presión PZT-52.
  • Alta presión de descarga de las bombas P-51A/B, a través del transmisor de presión PZT-53.
Acciones:
  • Apagado de las bombas P-51A/B.
  • Cierre de la válvula XV-52.
  • Alarma de activación del Interlock I en el BPCS.
En este caso, como mencionamos anteriormente, el interlock fue definido para la seguridad del sistema, es decir, la protección del activo (Bomba P-51A/B); sin embargo, se puede dar el caso de que sea definido para la protección de un escenario peligroso específico, al igual que se realiza con las funciones de seguridad.

Para definir las funciones de seguridad, el primer paso es identificar los escenarios de riesgo, y para cada escenario peligroso se identifican las funciones de seguridad.

Por ejemplo, para el escenario “Posible daño mecánico a las bombas de crudo P-51A/B producido por un evento de muy bajo nivel en el tanque TK-51” se hace necesario proteger las bombas P-51A/B; por lo que, se puede definir una función de seguridad de “Protección por muy bajo nivel bombas de crudo P-51A/B”. La misma puede ser implementada por una SIF que tenga el objetivo de detener la operación de la bomba P-51A o P-51B al detectarse muy bajo nivel en el tanque TK-01, a través del LZT-52, en un valor de tiempo determinado y que tenga asociado un SIL para cumplir con el factor de reducción de riesgo requerido.

Adicionalmente, el permisivo en este sistema puede ser representado por una función lógica que evite el arranque de las bombas cuando el interruptor de posición de cierre (ZZSL-52) de la válvula XV-52 se encuentre activo.

Cuando trabajamos en seguridad funcional, es importante conocer la diferencia entre estos términos así evitaremos errores que comprometerían el desarrollo del Ciclo de Vida de Seguridad del SIS; por ejemplo, una SIF definida incorrectamente implicaría una Especificaciones de los Requerimientos de Seguridad (SRS) débil, y este error se propagaría a toda la fase de Diseño e Ingeniería del SIS.

Responda las preguntas de comprobación aquí:

Escrito por a la(s) 2 comentarios:
Suscribirse a: Entradas (Atom)