Seguridad Funcional en Instalaciones de Proceso Sistemas Instrum

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO Sistemas Instrumentados de Seguridad y Análisis SIL

Coordinadora: Inmaculada Fernández de la Calle Autores:                   !"# $% &' ()*#  '(' + 

© Inmaculada Fernández de la Calle et al , 2012 (Libro en papel)

© Inmaculada Fernández de la Calle, 2013 (Libro electrónico)

Reservados todos los derechos. “No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos sin el permiso previo y por escrito de los titulares del Copyright”

Ediciones Díaz de Santos, S.A. Albasanz, 2 28037 MADRID [email protected] www.editdiazdesantos.com ISBN: 978-84-9969-658-4 (Libro electrónico) ISBN: 978-84-9969-210-4 (Libro en papel)

ACERCA DE LOS AUTORES

A

COORDINADORA

Inmaculada Fernández de la Calle '  '     ' ' M'  N''  $ '  + ' ' M' $' +O$ 6#'  '   $'P '': #$K 6+L ' )  ' O' ' $$ ')6#'  ' / $ : $$ & Q R4 ' (' /6  ' ' /       $ 'R & Q '    6#'  ' )S:  /$ $ $$   #' * $ '  J$'     $  $'  ( '  & $$ $  6+ J /' $'  &S 6#' )*''$'''+'&6+ J ) $' ' 

$' $ '$4 '  +  '  $ & )  '$  $9K#' '$  '$$ #' L/10K*   'P '#' :6(6L/11 K*'J  $ 66   'L)12K*'J$ 66L

AUTORES

Alfonso Camacho López #'R4 ' ' )  ' O' ' $$ '/$ $' ') $G M' /6'$  $*'$'&')6'$ $$  6#' (P G$/G $ G$3' ) $ -  

VIII

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

%     ' $ & Q  $''$'$$ : '/'J '$$ ') $'    '#' % ' & # ' ')''$ Q/ &  ) $   T$''   $ $3'  G$$$ ') $G 68( %  '$ $8K+$ '$ '$$ #' L

Inmaculada Fernández de la Calle '  '     ' ' M'  N''  $ '   ' ' M' $' +O$ 6#'  '   $'P ' '#$K 6+L ' )  ' O' ' $$ ')6#'  ' / $ : $$ & Q R4 ' (' /6/  ' ' /       $ 'R & Q '    6#'  ' )S:  /$ $ $$   #' * $ '  J$'     $  $'  ( '  & $$ $  6+ J /' $'  &S 6#' )*''$'''+'&6+ J ) $' ' 

$' $ '$4 '  +  '  $ & )  '$  $9K#' '$  '$$ #' L/10K*   'P '#' :6(6L/11 K*'J  $ 66   'L)12K*'J$ 66L

Carlos Javier Gasco Lallave '  '  ' ' '  N-+*  ' ' ' $' )+O$ N''$ '(# ') $G $'  N'' G'$4 : '  ' %      '    $ $3' /     $   6#' G / O$6'$ $$ 6#' )$O/ )  #'  $'' '  ''$ ') J  /  '  $''  $ $UM'  $' V/ N': ' (' )S'#''R  # ) & ')  $ J  6:+ J 

Acerca de los autores

+  '   $' ' ) $'$ '  #' $$ ''$ $' /#R4 ' (' ) ' $ $'   '$ '$'$ *9 ' &4' K+ J )G$# L 66 Coach.  $ $ & # ' 6#'  ' #  ) $ %  '$ $2K#' '/$ ) $' L/3 K  $ ' '$  ' L/14K $''$)O$ '66L)15K'P ' 66L

Ana María Macías Juárez +W Q  $'##'$' $'$$R #' (# $6' 'G ' Nota: las anteriores reglamentaciones han sido comentadas en el punto 2.2.3 de este capítulo.

^

(*A?D8BEEXK$ODX>L que regula cómo realizar la Evaluación de Riesgos, PQ * $G$ ' $ +O')$ &  ''ciones mínimas para mejorar la Seguridad.

2.3.4. OTRAS NORMAS En este apartado y para dar una visión más completa en cuanto a Normativa asociada a Seguridad, daremos una breve descripción de algunas otras normas conocidas: 



HSE-PES “Programming Electronic Systems in Safety Related Applications”, partes 1&2, 1987. Este documento fue el primero en su clase publicado por la asociación gubernamental inglesa Health & Safety Executive. A pesar del hecho de que el  $$' ' ' P ' '$  $' #  bles, los conceptos analizados se pueden aplicar también a otras tecnologías. Trata métodos cuantitativos y cualitativos de evaluación junto a muchas tablas con check lists y se ha usado como referencia para confeccionar muchas normativas vigentes relacionadas con el análisis de riesgos en ambientes industriales. DIN (V) 19250 “Aspectos fundamentales de la seguridad a considerar para equipos de medida y control”. Se trata de una pre-norma alemana emitida en 1989 y cuya última edición se publicó en 1994. Se tomó muy en consideración en los ejemplos de Análisis de Riesgos de la IEC 61508 (Parte 5). Cubre solo parcialmente el ciclo de vida de la seguridad puesto que su in$ '   #   P' #    '''# Describe por tanto un proceso de análisis cualitativo que ha desembocado en  '$'P '   P '  \+$  '-

Legislación, estándares y normavas

  $  3''$#' K6LP'+ ADHE?) existe cierta correlación entre ellos.  AIChE-CCPS “Guidelines for Safety Automation of Chemical Processes”, 1993. El instituto americano de ingenieros químicos formó el Center for Chemical Process Safety (CCPS), inmediatamente después del grave accidente de Bhopal, en India, y en el que murieron miles de personas. Desde entonces este centro ha elaborado numerosos documentos y libros de texto para la seguridad en la industria de procesos, que tratan el diseño de los DCS (Distributed Control Systems) y de los SIS (Safety Instrumented Systems) desde $'$  'P   API RTP 556 “Recommended Practice for Instrumentation and Control Systems for Fired Heaters and Stream Generators”, 1997. Desarrollado por el American Petroleum Institute, este documento tiene secciones que tratan los sistemas de bloqueo (shutdown) para calentadores, generadores de vapor, turbinas de gas, generadores de vapor de gases calen$ / '$ 3 *''#'' ' $ Prías, se podría aplicar también a plantas químicas o instalaciones industriales similares.  API RP 14C “Recommended Practice for Design, Installation and Testing of Basic Surface Safety Systems for Offshore Production Platforms “, 2001. La misma organización redacta este documento basado en proven practices, dirigido tanto a personal de diseño como operativo.  NFPA 85 “Boiler and Combustion Systems Hazard Code”, 1997. Normativa más reconocida a nivel mundial para la seguridad de los sistemas de combustión, redactada por la National Fire Protection Association. Revisada en 2004, es referenciada por muchas organizaciones para sus BMS (Burner Management Systems). El estándar comprende: 

Gestión de calderas de un solo quemador. Calderas con múltiples quemadores. Sistemas de pulverización de combustible. Gestión de la alimentación de combustible. Gestión de las calderas con uidized-bed de presión atmosférica. Sistemas de recuperación de calor en los generadores de vapor.

EN 746-2 “Equipos de tratamiento térmico industrial”. Es la versión europea de la NFPA 85, que además exige un determinado SIL para determinados lazos. Consta de tres ediciones, siendo la última del 2011 (Resolución de 4 de octubre de 2011, de la Dirección General de Industria, que publica la relación de normas UNE aprobadas por AENOR – 1 vez cada 3 meses)

1.E-01

1

Fallo en la acción del operador (=D+' P#  O Z' 6    $'    K3  'P \D a AK8).

Figura 7.1. Índice SIL. Gráco de riesgo calibrado según IEC 61511, Parte 3 Anexo E.

Metodologías para la determinación del Índice SIL

Asimismo, en la Tabla 7.1 se detalla la relación existente entre el Índice SIL de acuerdo a dicha normativa, y el correspondiente según las normativas IEC61508/61511 que consideran el índice de 1 a 4. Tabla 7.1. Relación índice SIL normava alemana y estándares IEC-61508/61511. SIL NORMAS IEC-61508/61511

SIL NORMATIVA ALEMANA AK1

SIL 1

AK2/AK3

SIL 2

AK4

SIL 3

AK5/AK6

SIL 4

AK7 AK8

+' 6$'   $'' #P /     '$ tiva los siguientes cuatro parámetros: -

-

-

-

Consecuencias (C) ^ D7* J' ^ B7* J'8 $    ^ X7$ '   ^ @7$   Frecuencia o tiempo de exposición (F) ^ D7(  O$  '# ^ B7 $  $  '# Posibilidad de evitar el evento (P) ^ GD7G'&$'   ' $  '  ^ GB7 '''& Probabilidad de ocurrencia del evento (W) ^ ¾D7G & & ^ ¾B7G& & ^ ¾X7)& &

7.2.2. MATRICES DE RIESGO La aplicación de esta metodología consiste en la valoración cualitativa de la probabilidad de ocurrencia de un accidente y de la severidad de sus consecuencias, para obtener mediante el uso de una matriz de riesgo el índice SIL asociado. Para el uso de esta metodología, podemos emplear las matrices de riesgo que se recogen en la Norma ANSI-ISA-S84, véase Figura 7.2, o en el estándar IEC-61511 Parte 3 Anexo C, véase Figura 7.3. Para ambos casos, la matriz de riesgos se trata de una matriz tridimensional que adicionalmente a la valoración de la probabilidad de ocurrencia y la severidad de las consecuencias, como tercer eje, considera:

147

148

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^ ^

La efectividad de los sistemas de protección. Norma ANSI-ISA-S84. -T     $ ' ' )  66 3     'P  estándar IEC-61511. El estándar IEC-61511 Parte 3 recoge unos criterios para la estimación cualitativa de la probabilidad de ocurrencia y severidad de las consecuencias que se detallan a continuación:

Tabla 7.2. Frecuencia de la probabilidad de eventos peligrosos (sin considerar las PL). PROBABILIDAD CLASIFICACIÓN CUALITATIVA

VALOR NUMÉRICO

TIPO DE EVENTOS Un fallo o serie de fallos con una probabilidad muy baja de que se produzcan dentro del empo de vida esperado de la planta.

BAJA

F < 10-4 /año

EjemplosZ 1. Tres o más fallos simultáneos de instrumentos o humanos. 2. Fallo espontáneo de depósitos o recipientes de proceso. Un fallo o serie de fallos con una probabilidad baja de que se produzcan dentro del empo de vida esperado de la planta.

MEDIA

10-4 < F < 10-2 / año

EjemplosZ 1. Dos o más fallos simultáneos de instrumentos o humanos. 2. Combinación de fallos de instrumentos y errores de operadores. 3. Fallos únicos de pequeñas líneas o accesorios de proceso. Un fallo que cabe razonablemente esperar que se produzca dentro del empo de vida esperado de la planta.

ALTA

10-2/año < F

EjemplosZ 1. Fugas de proceso. 2. Fallos únicos de instrumentos o de válvulas. 3. Errores humanos que pueden dar lugar a escapes de productos.

Metodologías para la determinación del Índice SIL

Tabla 7.3. Criterios para clasicar la gravedad del impacto de los eventos peligrosos. CLASIFICACIÓN DE LA GRAVEDAD

IMPACTO

Muy grave

Daños de equipos a gran escala. Parada de un proceso durante largo empo. Consecuencia catastróca para el personal y el ambiente.

Grave

Daños de equipos. Parada corta de un proceso. Daños graves para el personal y el ambiente.

Menor

Daños de equipos. Sin parada del proceso. Daños temporales para el personal y el ambiente.

Figura 7.2. Índice SIL. Matriz de riesgo según ANSI-ISA-S84.

149

150

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 7.3. Índice SIL. Matriz de Riesgo según IEC-61511 Parte 3 Anexo C.

7.3. METODOLOGÍAS SEMICUALITATIVAS Se tratan de técnicas de análisis críticos que emplean índices globales del potencial de riesgo estimados a partir de las estadísticas. Estas pueden ser de disposición general o procedentes de la experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar. 7.3.1. GRÁFICO DE RIESGO CALIBRADO La aplicación de la presente metodología consiste en calibrar o dar valores, de forma semicuantitativa o mediante índices globales, a los cuatro parámetros C, F, P y W del #P '#K4  $ >BD$ $LG   $' ' de estos parámetros se considera que la función instrumentada de seguridad que     'P O'$$ ' '$ Esta metodología consiste en la selección de categorías para los parámetros de  #P '#+$ &$' #P  reducción de riesgo (RR) necesaria para cumplir con el criterio de aceptabilidad de riesgo. Es decir, nos indica cuántos órdenes de magnitud se está por encima de lo aceptable. Este riesgo inicial se podrá reducir bien mediante las capas de protección independientes (IPL) ya existentes o bien (el resto) mediante la función instrumentada (SIF) en estudio. +' 6 '#    6 ' ' $$  #P 

Metodologías para la determinación del Índice SIL

(riesgo inicial) y la reducción de riesgo proporcionada por las IPL (seguridad ya existente). Los parámetros utilizados en la metodología de grácos de riesgo calibrados son de dos tipos: tres parámetros de consecuencias y un parámetro de probabilidad de   ' $'#$P'#    '7('# = Probabilidad x Consecuencias. + '# >@$  #P '# '& #'   que se recoge en la Norma IEC-61511 Parte 3 Anexo D.   '& ' #P  //G)¾&  ''3 se establezca en un procedimiento en la de dirección de la empresa o compañía, teniendo en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha Dirección. No obstante, en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referencias para la valoración de dichos parámetros, que se resumen a continuación: Consecuencias (C) Se puede calcular como el número de muertes en las instalaciones, mediante la determinación del número de personas presentes en la zona cuando el área expuesta al riesgo está ocupada multiplicándolo por la vulnerabilidad del suceso accidental.

Figura 7.4. Reducción de riesgo. Gráco de riesgo seguridad personal IEC 61511 Parte 3, Anexo D.

151

152

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

La vulnerabilidad (V) puede calcularse en función de la naturaleza del riesgo teniendo en cuenta los siguientes criterios: ^ ^ ^

^

S EED73J # $  ' $O' ']  & S ED7# # ''$  ' $O' ']  & S EH7# # ''$  ' ']  &  $ & bilidad de ocasionarse un incendio o fuga de grandes dimensiones de sustancia altamente tóxica. V=1: ruptura o explosión.

' $/    '   'P 7 ^ ^ ^ ^

CA: daños menores. CB: de 0.01 a 0.1. CC: de 0.1 a 1.0. CD: mayor de 1.0.

‰ j%‹% ƒ‰„ Se puede calcular determinando el tiempo proporcional que el área expuesta al riesgo está ocupada por personas durante un día normal de trabajo. ^ ^

FA: raro o poco expuesto en la zona de riesgo. Ocupación menor de 0.1. FB: frecuente a permanente en la zona de riesgo. Ocupación mayor de 0.1.

Posibilidad de evitar el evento (P) ^ ^ ^

GA: se adopta este valor si todas las condiciones que se citan a continuación son verdaderas. GB: se adopta este valor si no todas las condiciones que se citan a continuación son verdaderas.   ' '  '#'$7 - El sistema alerta al operador sobre un fallo en el SIS. - Existen sistemas independientes que permiten activar el shutdown de las instalaciones para evitar el riesgo o para conseguir que el personal presente puede alcanzar un área segura. - El tiempo que transcurre desde que el operador es alertado de la situación de riesgo hasta que el suceso indeseado ocurre, excede de una hora o se ' $'P '$   '   $ '  ' 

Probabilidad de ocurrencia del evento (W) Se puede calcular como el número de veces al año que una situación de riesgo puede  '  ' 663$   '   'P 

Metodologías para la determinación del Índice SIL

^ ^ ^

W1: tasa de demanda menor que 0.1*D al año. W2: tasa de demanda entre 0.1*D y D al año. W3: tasa de demanda entre D y 10*D al año.

siendo D un factor de calibración cuyo valor debe ser establecido en función del criterio de riesgo establecido corporativamente o a nivel de dirección de la Compañía. La frecuencia de fallo se puede calcular mediante el empleo de un árbol de fallos. G$ / '# >H$  P ('# '& 3 lúa las consecuencias sobre el medio ambiente que se recoge en la Norma IEC-61511 Parte 3 Anexo D.

Figura 7.5. Reducción de riesgo. Gráco de riesgo medioambiental IEC 61511 Parte 3 Anexo D.

  '& ' P  /G)¾&  ''3 establezca en un procedimiento en la dirección de la empresa o compañía, teniendo en cuenta los criterios de aceptabilidad del riesgo establecidos por dicha dirección. No obstante, en la Norma IEC-61511 Parte 3 Anexo D se recogen unas referencias para la valoración de dichos parámetros, que se resumen a continuación:

153

154

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Consecuencias (C) Puede adoptar los siguientes valores: ^ ^ ^ ^

CA7   J3)# P '$te grande para informar a la dirección de la planta. CB7 $'$  J'#'P $' CC: escape fuera de los límites con daños importantes que se pueden remediar  ''   '   '#'P $'  CD: escape fuera de los límites con daños importantes que no se pueden remediar con rapidez o con consecuencias duraderas.

G     ' '  $ #P     '  ' &'$  )   lección de los parámetros W y P, se tendrán en consideración los estimados para el #P #'    '  ''#    '# 3#P '##'  3 T     ' &  )' &'$/&P' '  $'/ $ #P   '# 3     T     '  &  $'  bienes materiales de la compañía (considerándose no solo los daños materiales de las instalaciones sino que además habrá de tenerse en consideración la pérdida de &P '   $    '$  'L + :ADHDD' ) #P '#$ ' $'/&' 'P ' ' de compañía. *$#P '##' 34  &$  él se consigue el punto de partida para determinar la reducción de riesgo necesaria y poder alcanzar el nivel de riesgo tolerable por la instalación. La siguiente fase de dicha etapa sería determinar las capas de protección independientes (IPL) asociadas a cada escenario. Con esto se consigue determinar la reducción de riesgo que proporcionan las otras seguridades existentes en el proceso que no son la SIF en estudio.  '# >A$ '  '''#/ 36P  $'  $   & $#P '#/nos la suma de los créditos asociados a cada IPL. Para calcular estos créditos, a cada G  ' ' 4'$''  &$'#P '# Recordemos las propiedades o requisitos que deben cumplir las salvaguardias para poder considerarlas IPL, tal como vimos en el Capítulo 3: 1. Especicidad: una IPL se diseña exclusivamente para prevenir o atenuar las consecuencias de un evento potencialmente peligroso (por ejemplo, una reacción de embalamiento, escape de producto tóxico, una pérdida de contención, o un incendio). Varias causas pueden conducir al mismo evento peligroso, y por tanto, varios escenarios de evento pueden iniciar la acción de una IPL. 2. Independencia: una capa de protección se considera IPL si es independiente $ $ $   $ '  '   '#'$'P  como de la SIF en estudio.

Metodologías para la determinación del Índice SIL

3. Seguridad de funcionamiento: se puede contar con ella para que haga lo que está diseñada para hacer. En el diseño se han considerado tanto fallos aleatorios como sistemáticos. 4. Aptitud para ser auditada: está diseñada para facilitar la validación regular de las funciones protectoras. Es necesario realizar ensayos periódicos y un mantenimiento del sistema de seguridad.

Figura 7.6. Criterios de aceptabilidad del riesgo y reducción del riesgo por IPL.

7.4. METODOLOGÍAS SEMICUANTITATIVAS Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso). 7.4.1. ANÁLISIS LOPA O ANÁLISIS DE LAS CAPAS DE PROTECCIÓN Recordemos lo analizado en el Capítulo 3, las capas de protección en una instala ' ) P#   &  #' ( 3 dividir en: ^

^

Aquéllas destinadas a prevenir el accidente, como pueden ser el sistema de control, las alarmas críticas, las actuaciones por parte del operador y los sistemas instrumentados de seguridad (SIS). Aquéllas destinadas a introducir medidas de mitigación, como pueden ser los sistemas fuego&gas, los sistemas de alivio, de protección física, la respuesta de la planta ante emergencia o la respuesta de la población ante emergencia.

155

156

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura7.7. La “Cebolla” de la Seguridad.

*$ $#      Z' 6]Q  $  y normativas IEC 61511 Parte 3 Anexo F y ANSI-ISA-S84, el Análisis LOPA (layer of protection analysis) o análisis de la capas de protección se presenta como la técnica más exhaustiva por su carácter semicuantitativo. Dicha técnica constituye un análisis objetivo de las distintas capas de protección de que dispone un proceso, evaluando el riesgo del mismo y comparándolo con el '$'  '# $ & P'    ' /     '' '      protección son adecuadas o, por el contrario, si es necesario mejorar las existentes o introducir capas adicionales. Por todo ello, el análisis LOPA se presenta como una técnica que permite una comparación directa de la contribución de las distintas capas de protección del proceso a la reducción del nivel global de riesgo. La metodología general para el desarrollo del análisis LOPA se detalla a continuación, dándose una breve descripción de las seis etapas de las que se compone. ETAPA 1. Idencación de consecuencias  esación de su severidad Esta primera etapa tiene dos objetivos fundamentales: ^ ^

$'P '$'&   :   ' - $ este objetivo se desarrolla a través de un estudio HAZOP. Categorización de las consecuencias de cada par causa-consecuencia para la posterior selección de escenarios LOPA (Etapa 3) y evaluación del riesgo del

Metodologías para la determinación del Índice SIL

mismo (Etapa 6). La categorización de las consecuencias se realiza según los  $   ' P' ''$3&Pnirse a nivel corporativo. Dicha categorización será la que determine a partir del criterio de aceptabilidad de riesgo de la compañía (véase Etapa 6) el valor del riesgo aceptable para los escenarios estudiados, que también deben ser P' '  J  ETAPA 2. Seleccionar el escenario objeto de estudio -$   Q   :   ' '$'P  $'%»WG&jeto del análisis LOPA dada la complejidad de este último. Generalmente, será el análisis SIL el que determine qué par causa-consecuencia será escenario LOPA, en función del riesgo asociado a la misma. A nivel corporativo debe adoptarse el criterio de seleccionar como escenarios LOPA aquellos en los que se requiera una Función Instrumentada de Seguridad (SIF). ETAPA 3. Idencar el suceso iniciador del escenario  deterinar su frecuencia (en año-1) La frecuencia del evento iniciador se calcula en eventos por año (año-1), para lo cual se dispondrá de bases de datos que recojan las tasas de fallo de los componentes del proceso. A veces, en las bases de datos no se encuentra la frecuencia del evento iniciador en cuestión. En tales casos, se acude a un árbol de fallos para calcular la frecuencia del evento iniciador combinando mediante puertas lógicas varios sucesos de los cuales sí se tengan datos de frecuencias de fallos disponibles. En esta etapa, además de la frecuencia del evento iniciador, habrá que determinar, en el caso de que existieran, la frecuencia/probabilidad de los sucesos condicionan$)'P  ' ' /3 $'$)$$3 intervenir en el escenario. En concreto: ^

^

Los eventos permisivos o condiciones. Consisten en operaciones o condiciones que no causan directamente el escenario, pero que deben estar presentes o activas para que el escenario pueda desarrollarse hasta sus consecuencias P -4' $  $     '   '/ '4  en todos los casos en los que intervienen. 'P  ' ' G'$ Q$    '   rio a través de la probabilidad de que se den unas u otras consecuencias. Ejemplos de Estos son la probabilidad de ignición, la probabilidad de presencia de personal en área afectada, la probabilidad de lesiones fatales, etc.

ETAPA 4. Idencar las IPL ue intervienen en el escenario objeto de estudio  deterinar la robabilidad de fallo en deanda (PD) de las isas Una capa de protección independiente o IPL es un mecanismo, sistema o acción que es capaz de prevenir o evitar el desarrollo de un escenario hasta llegar a la con-

157

158

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

secuencia indeseable (véase Capítulo 3 del presente libro para profundizar en los tipos de capas de protección). Toda IPL debe reunir los requisitos establecidos en el Apartado 3.1 del presente capítulo. N  '$'P    $ 'O'$$      rio, se debe determinar su probabilidad de fallo (típicamente, probabilidad de fallo en demanda, PFD). Por ejemplo, una función instrumentada de seguridad con un índice SIL 3 tendrá una PFD como máximo de 10-3. Es importante recordar que, en LOPA solo las salvaguardias que sean consideradas IPL contribuirán a la reducción de riesgo del escenario. En la Figura 7.8 se observa la relación entre capa de protección y reducción del nivel de riesgo.

Figura 7.8. Capas de protección y reducción del riesgo.

ETAPA 5. Esar la frecuencia del escenario con los datos de suceso iniciador consecuencia e IPL N  P'$ $/      '   cuencia mediante la fórmula: n

fs

f ie · p e · p cm

– PFD

i

i 1

Donde:

Metodologías para la determinación del Índice SIL

fs.- frecuencia del escenario fie.- frecuencia del suceso iniciador pee.- probabilidad de los eventos permisivos o condiciones PFDi.- probabilidad de fallo en demanda de la IPL i pcm:& &'' 'P  ' ' 

ETAPA 6. Evaluar si el riesgo obtenido en la etapa anterior es tolerable según los criterios adoptados +'#P   '&$' &' '   '   secuencias mitigadas (calculada en la etapa anterior) y la severidad de dichas consecuencias. En el presente estudio, la evaluación del riesgo consistirá en la comparación de    '     ' '$'#    ' P   '/  lada en el punto anterior con el criterio de aceptabilidad de riesgo de la corporación teniendo en cuenta las consecuencias consideradas para los escenarios objeto de estudio. En este sentido, el SIL resultante para la SIF en cuestión será aquél cuya PFD permite cumplir con el criterio de aceptabilidad del riesgo de la corporación. Si después de analizar las capas de protección se concluye que los niveles de riesgo considerados admisibles son vulnerados, se debe decidir qué capa de protección adicional se debe implementar para eliminar esa diferencia. Aunque los análisis SIL y LOPA están relacionados con las funciones instrumentadas de seguridad, es preferible no recurrir a ellas en primer lugar, sino a soluciones no instrumentadas, tales como: doble contención, diques, discos de ruptura, válvulas de seguridad, etc., y en último lugar, funciones instrumentadas. El motivo es que Estas son más complejas y 3'   'P ' ) $''$' 7.5. CRITERIOS DE SELECCIÓN DE LA METODOLOGÍA PARA CÁLCULO DEL ÍNDICE SIL Tal y como hemos expuesto en el presente capítulo, existen diversas metodologías para el cálculo del índice SIL. La metodología a seleccionar dependerá de muchos factores, que incluyen: ^ ^ ^ ^ ^

La complejidad de la aplicación y de las instalaciones. Las directrices de las autoridades competentes, si existe algo al respecto regulado. La naturaleza del riesgo y la reducción del riesgo requerida. La experiencia y habilidades en materia de análisis de riesgos, operaciones, seguridad, etc., de las personas disponibles para acometer el estudio. La información disponible sobre los parámetros correspondientes al riesgo.

159

160

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

En algunas aplicaciones se puede usar más de un método. Normalmente, se recomienda usar un método cualitativo/semicualitativo como un primer paso para calcular el SIL de todas las SIFs y para aquellas que se les asigne un SIL 3 o 4 en esta primera etapa, se debería considerar con mayor detalle usando un método semicuantitativo para obtener un entendimiento más riguroso de su integridad de seguridad requerida.

7.6. EJERCICIOS PRÁCTICOS DE APLICACIÓN En el presente apartado se recoge el cálculo del índice SIL para una función instrumentada de seguridad del caso práctico del Capítulo 6 del presente libro, en el que se realiza el estudio HAZOP de un botellón de proceso V1. En concreto, en la Recomendación 12 del estudio HAZOP se recoge la siguiente acción de mejora (REC. 12:”Instalar un transmisor de nivel independiente en el botellón de carga V1, congurando enclavamiento de parada de las bombas P-1 A/B ante muy bajo nivel en el mismo”). A continuación, se procede al cálculo del índice SIL de dicha función instrumentada de seguridad aplicando las siguientes metodologías: CÁLCULO DEL ÍNDICE SIL MEDIANTE GRÁFICO DE RIESGO CALIBRADO DATOS GENERALES DE LA SIF SIF 1

Muy bajo nivel en el botellón de carga V1.

Enclavamiento

I-01

Referencia Análisis de Riesgo

Estudio HAZOP del botellón de carga a la Unidad V1 (ejercicio prácco Capítulo 6, Apartado 7, del presente libro).

Nodo

1

P&ID Nº

XXX Rev. 1

SIF iniciada por

LSLL-XX

Intención del diseño

Evitar giro en vacío de las bombas P-1 A/B, con riesgo de daños a las mismas y fuga de hidrocarburo al exterior.

Muy bajo nivel en el botellón de carga V1.

  &    |j   - Parada de las bombas P-1 A/B para llevar el proceso a estado seguro Otras acciones del enclavamiento no incluidas en el SIF

- No aplicable.

Metodologías para la determinación del Índice SIL

FALLO PELIGROSO EN DEMANDA Causa

1. Fallo del lazo de control de nivel LIC-02.

/ j  ƒ ausencia de salvaguardias) del fallo de la SIF en demanda

1. Descenso de nivel en el botellón de carga V1, con riesgo de giro en vacío de las bombas P-1 A/B y posibles daños a las mismas. 2. Posible fuga de hidrocarburo al exterior con generación de charco inamable, nube inamable y daños a personas, instalaciones y medio ambiente.

REDUCCIÓN DE RIESGO (RR) REQUERIDO SEGÚN LAS GRÁFICAS DE RIESGO (IEC-61511 PARTE 3 ANEXO D) Juscación de la elección de los paráRR DE SEGURIDAD metros para seguridad personal: PERSONAL •] ver árbol de fallos (Figura 7.9). Se ha adoptado el factor de calibración D W W2 C CC F FA P PB RR 2 igual a 10-2. De esta forma, W=W2 por estar comprendida entre 10-3 y 10-2. /] se ha valorado la vulnerabilidad como V = 0,1 y se ha supuesto que pueRR DE PROTECCIÓN DEL MEDIOAMBIENTE den exisr 2 operadores presentes en la zona de riesgo. De esta forma, C es igual a 0,2 y por tanto igual a CC. ‰]se ha esmado la presencia de opeW W2 C CA P PB RR 1 radores en la zona de riesgo durante un empo esmado de 30 min. por turno, siendo por tanto un total de 1,5 horas al día (3 turnos/día). F = FA por ser el RR DE PROTECCIÓN ACTIVOS (1) factor de exposición menor de 0,1. }]PB pues no se dan todas las condiciones indicadas en el Apartado 3.1. Juscación de la elección de los parámetros para medioambiente: W C P RR /]CA, pues las bombas P-1 A/B se encuentran en un cubeto y se ha esmado que la fuga o escape quedará dentro de los límites y con daños menores. No idencadas. (Véase recomendaSalvaguardias o Capas de Protección Indeción de este caso prácco). Crédito pendientes de otras IPL = 0. *+:–:+$Žƒ    +}„]

SIL = 2-0= SIL 2

KDL-   #P '#4'  $'/ - + :ADHDDG $X O* #'#T#P $$'/&'   J  3P ' #P + 3   J $# P'/ '   '  3#P #'  personal y de daños al medio ambiente, debiéndose adoptar el valor de SIL más alto obtenido.

161

162

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

RECOMENDACIONES

Es posible disminuir el índice SIL obtenido a un valor de 1, mediante la instalación de un transmisor de nivel independiente (al LT-02 y al correspondiente a esta función instrumentada de seguridad) en el botellón V1, con señal y alarma de baja en sala de control, siempre que el operador tenga empo suciente (20 min. o mayor) de respuesta desde que se acva la alarma hasta que se da el giro en vacío de la bomba P-1 A/B con daños a la misma. Adicional a esta condición, para poder considerar esta alarma como IPL en este escenario, y por tanto poder darle crédito, es necesario que se cumplan los requisitos para IPL indicados en el Apartado 4.1 de este capítulo. SIL = 2 – 1 =1.

COMENTARIOS

La instalación de esta función instrumentada de seguridad se recomendó en el estudio HAZOP (REC. 12Z_Instalar un transmisor de nivel independiente en el botellón de carga V1- con'gurando enclavamiento de parada de las bombas P-1 AB ante muy bajo nivel en el mismo”).

7.7. CÁLCULO DEL ÍNDICE SIL MEDIANTE MATRIZ DE RIESGO

DATOS GENERALES DE LA SIF SIF 1

Muy bajo nivel en el botellón de carga V1.

Enclavamiento

I-01

Referencia Análisis de Riesgo

Estudio HAZOP del botellón de carga a la Unidad V1 (ejercicio prácco Capítulo 6, Apartado 7, del presente libro)

Nodo

1

P&ID Nº

XXX Rev. 1

SIF iniciada por

LSLL-XX

Intención del diseño

Evitar giro en vacío de las bombas P-1 A/B, con riesgo de daños a las mismas y fuga de hidrocarburo al exterior.

  &    queridas para llevar el proceso a estado seguro

- Parada de las bombas P-1 A/B

Muy bajo nivel en el botellón de carga V1.

Otras acciones del enclavamiento - No aplicable. no incluidas en el SIF

Metodologías para la determinación del Índice SIL

FALLO PELIGROSO EN DEMANDA Causa

1. Fallo del lazo de control de nivel LIC-02.

1. Descenso de nivel en el botellón de carga V1, con ries/ j   go de giro en vacío de las bombas P-1 A/B y posibles (en ausencia de salvaguardaños a las mismas. dias) del fallo de la SIF en 2. Posible fuga de hidrocarburo al exterior con generademanda ción de charco inamable, nube inamable y daños a personas, instalaciones y medio ambiente. Índice SIL requerido según la Matriz de Riesgo (IEC-61511 Parte 3 Anexo C)

W

Media

C

Grave

Nº PL

1

Salvaguardias o Capas de Protección Independientes SIL REQUERIDO

Juscación de la elección de los parámetros para la Matriz Riesgo: •] Media. Véase árbol de fallos (Figura 7.9), por estar comprendida entre 10-4 y 10-2. SIL 2 /]Grave. Se ha esmado daños a equipos, parada corta del proceso y daños graves para el personal y medio ambiente. Nº PL (incluyendo la SIF a clasicar)]1. No idencadas. (Véase recomendación de este caso prácco). SIL 2

RECOMENDACIONES

Es posible disminuir el índice SIL obtenido a un valor de 1, mediante la instalación de un transmisor de nivel independiente (al LT-02 y al correspondiente a esta función instrumentada de seguridad) en el botellón V1, con señal y alarma de baja en sala de control, siempre que el operador tenga empo suciente (20 min. o mayor) de respuesta desde que se acva la alarma hasta que se da el giro en vacío de la bomba P-1 A/B con daños a la misma. Adicional a esta condición, para poder considerar esta alarma como IPL en este escenario, y por tanto poder darle crédito, es necesario que se cumplan los requisitos para IPL indicados en el Apartado 4.1 de este capítulo. De esta forma, Nº PL pasaría a ser 2 y para probabilidad media y gravedad media, el SIL sería igual a 1.

COMENTARIOS

La instalación de esta función instrumentada de seguridad se recomendó en el Estudio HAZOP (REC. 12Z”Instalar un transmisor de nivel independiente en el botellón de carga V1- con'gurando enclavamiento de parada de las bombas P-1 AB ante muy bajo nivel en el mismo”).

163

164

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 7.9. Árbol de fallos para cálculo de la probabilidad.

$&'&'#P 7 (1) Guidelines for Process Equipment Reliability Data, CCPS. (2) Manual de Seguridad Industrial Plantas Químicas y Petroleras. (3) TNO.

Metodologías para la determinación del Índice SIL

PARA NO OLVIDAR 





Existe un gran número de metodologías para el cálculo del índice SIL. La técnica seleccionada dependerá de los propósitos perseguidos con el análisis, el grado de conocimiento que se tenga de las instalaciones, así como de los datos y recursos disponibles. Para obtener una adecuada determinación del índice SIL mediante cualquiera de las metodologías presentadas en el presente capítulo, es fundamental el juicio de expertos en seguridad industrial y el apoyo de técnicos familiarizados con las operaciones y plantas involucradas, así como un adecuado estudio HAZOP de los procesos donde se encuentren idencados todos los escenarios de riesgo a valorar en relación a la SIF a clasicar. Normalmente, se recomienda usar un método cualitavo/semicuantavo como un primer paso para calcular el SIL de todas las SIF y para aquellas que se les asigne un SIL 3 o 4 en esta primera etapa, se debería considerar con mayor detalle usando un método cuantavo para obtener un entendimiento más riguroso de su integridad de seguridad requerida.

CONSEJOS PRÁCTICOS A la hora de aplicar una metodología para el cálculo del índice SIL en instalaciones de proceso, es muy importante considerar los tres aspectos básicos que se indican a connuación: 





Seleccionar la metodología más adecuada a aplicar según las caracteríscas de nuestras instalaciones y los objevos que se persigan con el estudio. Disponer de una documentación de proyecto (diagramas de tuberías e instrumentos o p&ids, matriz causa&efecto o descripción de enclavamientos, hojas de datos de equipos, etc.) actualizada y acorde a la realidad de las instalaciones, así como vericar la idoneidad del estudio HA ZOP de las instalaciones. Disponer de un equipo de trabajo muldisciplinar con alta experiencia en plantas similares, en materia de seguridad, procesos e ingeniería.

165

ELEMENTOS DE CAMPO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD

8

Alfonso Camacho López

SUMARIO: Introducción. Medida de caudal. Medida de presión. Medida de temperatura. !   &    /<  %   j  j dad. Inspección y pruebas generales de la instalación. Para no olvidar. Consejos práccos.

8.1. INTRODUCCIÓN Los objetivos de este capítulo están dirigidos a facilitar conocimientos y técnicas de instalación de los instrumentos de campo, pertenecientes a sistemas instrumentados #' 6 #   'P ) # 3$ $ sistema de seguridad están correctamente instalados, de acuerdo a lo indicado en la + 'P ')(3''$6#' KSafety Requirement Specications SRS) y, a los planos correspondientes. Se muestran las técnicas de medida más utilizadas con cada una de las variables de proceso, y se indican ventajas e inconvenientes de diferentes tipos de instrumentos que se pueden utilizar, para medir cada variable. Se comentan diversos tipos de conexionado y montaje de instrumentos, para que sirvan de guía a los técnicos que intervienen en el diseño, ingeniería, suministro, montaje y pruebas de los instrumentos pertenecientes al sistema de seguridad. De acuerdo con la industria en la que se van a utilizar, la selección de tipos de instrumentos puede ser distinta en función de los productos a medir, de las características de la instalación y de la aplicación concreta. Los instrumentos e instalaciones    $''  $ $ $ 3 Q ]' $' mente limpios en estado líquido o gaseoso. Se analizan diversos instrumentos utilizados en los sistemas de seguridad. Los que van insertados en los procesos y los instrumentos que son externos al mismo. Se evalúan ventajas e inconvenientes desde los puntos de vista de la seguridad y del funcionamiento continuo del proceso. Aunque en los cálculos de probabilidad de fallo a demanda y en las fórmulas utilizadas para la evaluación de los sistemas de seguridad, no se contemplan valores  $'P &' $''$  '/$ '$$  '$  ciones físicas de los instrumentos y las conexiones mecánicas más convenientes para cada caso. Con las recomendaciones que se exponen, se puede deducir cuáles son las instalaciones que responden a los mejores criterios de seguridad y funcionamiento.

168

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Los montajes de sistemas instrumentados de seguridad, especialmente los que se realizan para instalaciones químicas y petroquímicas, debido a la alta densidad de instrumentos utilizados para la automatización, a las condiciones ambientales de la '$  '/  '#' ]'3 ' )   Q' $4 nica de los instrumentos y sistemas que se manejan, hacen necesario que la ejecución del montaje sea realizada por empresas muy especializadas. Se les debe exigir experiencia demostrada en la ejecución de montajes de instrumentación, y concretamente en plantas de características similares. 8.1.1. EXIGENCIAS DE DISEÑO PARA LOS SENSORES DE CAMPO Los instrumentos sensores de campo dedicados a los sistemas instrumentados de seguridad, deben ser dedicados únicamente al sistema de seguridad y completamente independientes de otros instrumentos de campo que estén asociados a los sistemas básicos de control de procesos, así como a otros sistemas que no sean de seguridad, como pueden ser controles batch, o controles secuenciales también denominados automatismos. Se debe evitar compartir sensores con sistemas de control, para no crear problemas entre la seguridad de la planta, por un lado, y el mantenimiento y operación normal por el otro. Durante la operación de las plantas son necesarios y relativamente frecuentes los cambios de rango de los transmisores utilizados en control, para adaptarlos a las condiciones reales del proceso. Si los instrumentos fueran compartidos con los 66/ &' #   # /'P ''rectamente los valores de los puntos de disparo que fueron ajustados en el PLC de seguridad. Es necesario controlar los rangos de los instrumentos pertenecientes a los SIS y    3'P '  $  '$ #' /  3 valores de actuación en unidades reales de ingeniería continúen siendo los que se han '$'J'#  3''P '  $ '& Q$'P  ) $   Las pruebas de los sistemas de seguridad serán realizadas con personal y procedi'$ P /)    ' PQ   ''$'$tos de los sistemas de control se prueban cuando sus fallos afectan a la producción, ) 'P ') ''$'$'$ Para conseguir la independencia de los componentes del sistema de seguridad, de los componentes del sistema de control, se deben separar los siguientes elementos de campo: ^ ^

Los sensores, las válvulas de raíz, las líneas de impulso y las conexiones mecánicas y eléctricas. $P $   ')   para actuación de seguridad o disparo.

Elementos de campo del Sistema Instrumentado de Seguridad

^

^ ^

Los cables y multicables, las cajas de conexión, las líneas de aire, los borneros de conexión y los elementos de seguridad intrínseca, tales como separadores galvánicos asociados a las entradas-salidas y dedicados exclusivamente a los sistemas de seguridad. Las fuentes de alimentación eléctrica y sus alimentaciones de potencia. Las señales del sistema de seguridad que tuvieran que ser enviadas al sistema de control, tendrán que ser aisladas con separadores galvánicos, u ópticos.

Los sistemas de seguridad y los instrumentos de campo se deben diseñar con el concepto fallo seguro (fail safeL+$'#'P 3   $&$  'tados eléctricamente y los contactos de los interruptores de caudal, presión, nivel o temperatura de campo, están cerrados durante la operación normal del proceso. En estas condiciones, un fallo en la alimentación eléctrica, en cualquiera de los componentes, una apertura en el interruptor, en las conexiones eléctricas, o una rotura en los cables, será detectado porque producirá una actuación igual a la de un fallo del proceso, aunque este esté normal. No utilizar sensores de nuevos diseños o técnicas sin referencias. Los aparatos instalados en campo deben ser de tecnologías muy probadas, para las aplicaciones de   3  $'' 6&' $'P &  '   por organismos reconocidos, con resultados aceptables en cuanto a MTBF tiempo medio entre fallos (mean time between failure), fallos seguros y no seguros, para poder calcular la probabilidad de fallo a demanda. Los instrumentos de campo deben ser instalados de acuerdo con los reglamentos y códigos aplicables localmente y con la legislación vigente. Los elementos sensores se deben conectar directos y únicamente al sistema lógico de seguridad. No se deben conectar a ningún otro sistema que no forme parte del sistema de seguridad. Cuando se utilizan dos transmisores en redundancia para cumplir las exigencias necesarias para tener un valor de SIL aceptable, se requieren conexiones separadas para así eliminar fallos peligrosos comunes. Por ejemplo, taponamiento de líneas o el cierre accidental de la válvula de un instrumento. Cuando se utilizan sensores de campo redundantes, se debe proveer una alarma de discrepancia para indicar el fallo de cualquiera de los dos transmisores. Una manera sencilla de detectar la discrepancia es, por ejemplo, producir una alarma cuando la diferencia entre la medida de uno y otro transmisor es superior a un dos por ciento. 6& '  '$'P ''$$  '  '$mas de seguridad, para diferenciarlos del resto de instrumentos. Por ejemplo, pintándolos de otro color especial, o poniéndoles etiquetas distintas. 8.1.2. TECNOLOGÍAS Aunque hay una tendencia natural a asumir sin demasiadas dudas, que las innova ' $4 '   Q 3  O'$$/  &  #  ]O' cuando se trata de los sistemas de seguridad de las plantas industriales. Se requiere

169

170

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

un esfuerzo adicional de análisis, para cuestionar si todo lo nuevo es lo mejor, o no lo es. Es necesario analizar la enredada maraña técnica de los instrumentos, equipos y '$  P#  #  ''$'#$/     )  '  posible lo que puede ser mejor para la seguridad de la instalación. Desde el comienzo de la automatización y del control de los procesos químicos, y hasta muy recientemente los sistemas de seguridades, enclavamientos, disparos o paradas de emergencia de la plantas industriales, se han venido haciendo con instrumentos que miden las variables de proceso y accionan un contacto libre de tensión. El contacto está cerrado en condiciones normales del proceso y se abre cuando se sobrepasa un valor límite preestablecido. Esto permite que con relés electromecánicos se haga una lógica cableada, para que ante ciertos sucesos en el proceso se produzcan unas actuaciones concretas. Si había un fallo en el instrumento, en el cableado o en alguno de los relés, generalmente se producía un disparo espurio, y solo se veía afectada la parte concreta de la planta que se gestionaba con esa lógica. Posteriormente, con la llegada de los PLC, la lógica de actuación se programa en la unidad central de procesado, las entradas y salidas se concentran en tarjetas electrónicas de diferentes tipos. Se siguen utilizando contactos libres de tensión como entradas-salidas, y además se comienzan a utilizar señales analógicas. Con la opción del PLC, hay mayor facilidad para el manejo de muchas señales de entradas-salidas y para realizar lógicas más complejas.  $'' '$  P# ' G /#  '$# dos por unidades operativas que pueden funcionar de forma independiente, presenta problemas debido a que los disparos espurios por fallos de tarjetas o CPU, pueden

 $   ' '  G   & )'P ' los enclavamientos de las unidades de proceso que están paradas, y para mejorar la disponibilidad de las instalaciones, se exigen redundancias y se segregan los PLC por unidades de proceso, para hacerlas independientes. En pequeñas unidades de proceso que tienen pocos enclavamientos, se ha seguido utilizando lógica cableada con relés y con entradas procedentes de contactos desde presostatos, o interruptores de nivel. Los nuevos PLC de seguridad son redundantes, con dobles o triples procesadores, vías de comunicación internas y tarjetas de entradas o salidas. Hay tarjetas de entradas-salidas para una gran variedad de señales, con diseños de los canales de entradasalida a fallo seguro (fail safe) y con reconocimiento de la calidad de las señales externas. Las tarjetas de entradas analógicas contienen lógica inteligente para comprobar el rango de la señal, y son capaces de detectar cuándo están fuera del rango de medida. Con esta señal, se puede producir una alarma o una actuación de seguridad. Instrumentos mecánicos con interruptores En el origen, la medida de las variables se hacía en campo con instrumentos mecánicos. Directamente generaban la actuación de un interruptor eléctrico que abría o cerraba un contacto, en función de que la variable estuviera por arriba o por debajo

Elementos de campo del Sistema Instrumentado de Seguridad

de un valor preajustado. Los interruptores se conectan en el modo a fallo seguro –contacto cerrado con el proceso en condiciones normales de operación– en estas condiciones facilitan solo un tipo de información, y es que el circuito esta permanentemente cerrado. Pero no proporciona ningún otro tipo de información o diagnóstico. Por ejemplo, un presostato tiene un contacto de disparo que está cerrado en la operación normal del proceso, y se ha diseñado para que por baja presión se abra. Si baja la presión y no puede abrir porque se queda pegado, falla y no tiene forma de indicar el fallo cuando hace falta su actuación. Esto mismo puede ocurrir con interruptores de nivel, termostatos e interruptores de caudal. La única forma de saber que estos instrumentos están trabajando correctamente es probándolos con cierta frecuencia. Este tipo de instrumentos se están utilizando a lo largo de decenas de años y las $4 '  &' '  ' / $  #'3 P &'' cánica y eléctrica de los instrumentos con interruptor sea muy grande. Actualmente, )$'' $ $)'$$'$']$ /   líquidos. Se utilizan menos los termostatos porque el uso de termopar o termorre'$ ' ) $':$ '  ' P &) ' 3 3 puede obtener con un termostato mecánico. Los interruptores mecánicos de caudal  $'' /&'  '  ' )P &3 '#  instrumentos electrónicos, y las diversas técnicas que se verán más adelante. Los contactos de los interruptores eléctricos deben ser fabricados con materiales de gran calidad, la intensidad del circuito se debe limitar a pocos miliamperios, el interruptor debe ser herméticamente sellado para aislarlo del medio ambiente y con#' O' P &''  ' '$ #'$$')$ $ $'P  '$$*G*R/ que son conmutadores de doble circuito, conectados como en la Figura 8.1. Con esta disposición, se disminuye la posibilidad de fallo debido a que los contactos se queden pegados. Suponiendo un interruptor con actuación por bajo nivel, cuando el nivel está correcto, el contacto normalmente abierto (NA) está cerrado. Si se conectan en serie los dos contactos (NA) de los dos circuitos del DPDT, cuando baja el nivel, los contactos se deben abrir y se producirá la actuación de seguridad o disparo. La posibilidad de fallo por quedarse pegados los contactos en los dos circuitos al mismo tiempo es muy remota, y con solo uno que abra, actuará la función de seguridad. Más adelante, en el apartado de Medida de nivel, se indican datos relativos a la seguridad de instrumentos, con este arreglo. G     '  P &'' $$''$$/ ''$  los datos obtenidos de una planta real, en la que se ha tomado una muestra de 23 presostatos, que llevan funcionando una media de 25 años en distintas unidades de procesos continuos. Están instalados en intemperie y con clima lluvioso. El 43% de los presostatos están conectados a la salida de 3-15 PSI de transmisores neumáticos, para dar disparo por bajo caudal. El 57% de los presostatos están conectados directamente

 / ]'# 3'/ $' $''6   ' 

171

172

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

las incidencias de mantenimiento de los últimos cinco años y se ha comprobado lo siguiente: ^ ^ ^

Un cambio de microrruptor en un presostato FSLL. Había producido un disparo espurio. N  O']Q  & $    #' 46  presostato. Había producido un disparo espurio. Una obstrucción de una línea de impulso de un FT neumático cuya salida va a un presostato FSLL. Había producido un disparo espurio.

Figura 8.1. Conmutadores de doble circuito.

De los tres fallos encontrados, aunque todos dan como resultado un disparo, el único que es producido por el presostato es el del microrruptor. Los otros disparos, son producidos por otros elementos de los circuitos que se deben tener en cuenta en el cálculo de PFDavg de la SIF, pero que no pertenecen a los presostatos. El MTTF (tiempo medio de fallo de un presostato) es de 23 x 5 = 115 años.  $     ™ D8RR D8DDHO?>AE =/=BODE-7 Si asumimos que en este tipo de instrumentos más del 60% de fallos son seguros, )3  &    J/ G* #''P  $ $7 ^ ^ ^

R   '#™D = (9,92 x 10-7) 0,4 = 3,97 x 10-7 Intervalo de pruebas TI = 1 año (8760 horas). G* # ™D x TI/2 = (3,97 x 10-7) (8760/2) = 1,73 x 10-3

Los instrumentos mecánicos con interruptores eléctricos para medir caudal, presión, temperatura o nivel, son aparatos o subsistemas tipo A.

Elementos de campo del Sistema Instrumentado de Seguridad

De acuerdo con IEC 61508, un aparato o subsistema se puede considerar de tipo '$3 $'$ &'P'/ portamiento en las condiciones de fallos están totalmente determinadas, y existen P '$ $&  O' '     $ $    peligrosos detectados y no detectados. Transmisores inteligentes Se utilizan cada vez con más frecuencia en el control de los procesos y en sistemas #' /&' P &'' )  '  $' #$' 6&' #nósticos es necesario hacer algunas consideraciones: ^

^

^

^

Actualmente, los sistemas instrumentados de seguridad (PLC de seguridad) que manejan la lógica, no admiten entradas o salidas múltiples mediante vías de datos con protocolos digitales de comunicación. Admiten, una entrada por cada instrumento. La señal puede proceder de un contacto libre de tensión, o una entrada analógica (generalmente de 4-20mA). Las tarjetas que reciben la  ' &  #' $'  '     'P   '  J / ejemplo, si está dentro del rango de medida adecuado. La mayoría de los transmisores inteligentes utilizados en aplicaciones de seguridad son de señal analógica de 4-20mA y protocolo HART. Mediante protocolo HART, se pueden comunicar sistemas de diagnósticos complejos de los transmisores. Se puede saber si una medida de variable es sospechosa  $      PQ  $  $'/ /  &'        velocidad excesiva. Permite conocer anticipadmente averías que se pueden producir en el transmisor. El gran potencial que la tecnología de transmisores inteligentes permite, se está desarrollando y utilizando en el área de mantenimiento con aplicaciones $9  Q +  '$ $ 3    '$  que están a disposición de mantenimiento para ajustar, ver características, e interpretar la “salud” de los instrumentos, también permite manejarlos e interactuar sobre los mismos, para cambiar rangos, modos de estado, bloqueo de señal, o para abrir y cerrar válvulas. Desde el punto de vista de la seguridad de las instalaciones, no se debe permitir el acceso incontrolado a los instrumentos sobre los que se basa la seguridad de la planta. Por esta razón, los instrumentos dedicados a sistemas de seguridad no se les permiten conexión externa a vías de comunicación con protocolo HART, o cualquier otro, que $4 $  $'P  # 'G #'  sistema de lógica del SIS. Hay tendencia a que los propios sistemas de lógica de seguridad incorporen $9 /3'$$)$''  $3 )   )P &''  '$$+$'#'P  )) Q  en la lógica y en las tarjetas de entradas o salidas del sistema de seguridad.

173

174

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Probablemente, en un futuro cercano, se consiga que los accesos permitidos al sistema de seguridad queden adecuadamente documentados y que se puedan inhabilitar (quedando documentado de forma automática) las funciones que pueden afectar a la seguridad. Por ejemplo, la calibración de instrumentos de seguridad, el modo de funcionamiento del transmisor y de las tarjetas de entra  ' /&3 ' &/$    $9   P '$$#/$ $'' '$ guridad todo el potencial de los diagnósticos de los instrumentos inteligentes, tanto en transmisores como en posicionadores de válvulas. Los instrumentos transmisores electrónicos para cualquier variable de proceso, sean con salida de 4 a 20mA, sean con salida de 4 a 20mA más protocolo Hart, o con salida única con protocolo digital, son aparatos o subsistemas tipo B. De acuerdo con IEC 61508, un aparato o subsistema se puede considerar de tipo @>@/& asumir un tiempo de vida útil basado en la experiencia. Los transmisores electrónicos suelen tener una vida útil de entre ocho y doce años. 8.2.2. REPARACIÓN Y CALIBRACIÓN DE INSTRUMENTOS MEDIDORES DE CAUDAL CON SENSOR INSERTADO EN LA TUBERÍA En los tipos de instrumentos que se han visto, la mayoría de las averías electrónicas pueden ser reparadas reemplazando la electrónica directamente en campo, sin tener que desmontar todo el instrumento y hacer necesaria la parada del proceso. La comprobación del buen funcionamiento de los instrumentos, y la calibración '  'P  ''' / '  ''$ con el proceso en funcionamiento. En la mayoría de los casos, estos instrumentos han de ser enviados a laboratorios de las casas centrales de los suministradores, donde pueden disponer de los instrumentos y medios necesarios para la comprobación de su calibración. Es necesario resaltar lo que implica el envío de instrumentos fuera de la planta, en cuanto a tiempos de indisponibilidad del instrumento y costes de desmontaje, limpieza, envío, seguimiento de la reparación o calibración, recepción y montaje. H  ! < %  Debido a los problemas que se plantean al enviar el instrumento fuera de la instalación, se opta por la alternativa de calibrarlo o ajustarlo en la planta.  $/  $T  'P   $ P#    '$  electrónicos del detector-transmisor. Dependiendo de los tipos de instrumentos, puede ser necesario hacer circular caudal por el instrumento, medirlo con otros medios y reajustar los parámetros del instrumento, para que su medida se aproxime lo máximo posible a la realidad. En este tipo de pruebas y ajustes, es necesario disponer de: básculas o plataformas de pesaje de cierta precisión, de depósitos o tanques calibrados para almacena'$]' ')'P '    /33  sido medido por el instrumento a comprobar y ajustar. Es necesario utilizar líneas

Elementos de campo del Sistema Instrumentado de Seguridad

y circuitos del proceso, para direccionar y almacenar el caudal del medidor que se 3''P ¨ '  ''$ &&) $   También es necesario utilizar recursos humanos especializados para efectuar la comprobación de la calibración, que generalmente se hace en conjunto con el técnico de la casa suministradora del instrumento. Se necesitan más recursos humanos para controlar los caudales, los almacenamientos, el pesaje y toda la operativa necesaria. Durante el tiempo necesario para la calibración en campo, que puede ser de bastantes horas por instrumento, la parte del proceso donde está el medidor no puede ser operativa, aunque el medidor no forme parte del control automático del circuito. Por ello, puede ocurrir que la planta o la unidad de proceso afectada tengan que estar en funcionamiento para generar y mover el producto a medir, pero con productos fuera  'P '/3  '   $'$ Teniendo en cuenta lo anteriormente expuesto, se deben analizar los tipos de '  O'$$ /   $$' ]')  condiciones operativas de la aplicación para la cual los necesitamos, y así, podemos decidir cual es el más indicado para nuestro proceso. 8.2.3. MEDIDA DE CAUDAL CON ELEMENTO GENERADOR DE PRESIÓN DIFERENCIAL INSERTADO EN LA TUBERÍA Los elementos generadores de presión diferencial más utilizados para la medida de  '' ' 7  'P '/$&S$'/$&bar, la tobera de caudal y el medidor tipo Wedge. Cada uno de estos elementos tiene características singulares para su utilización '$]'#$'# '& Q 4'   # /$  $'' &   $$'  ]'  $  ' / $$''  ]'  $ ' ' )$ ]' ' con partículas sólidas en suspensión. Todos estos elementos generadores de presión diferencial permiten conocer el caudal mediante la medida de la presión diferencial que generan al pasar el caudal a través de ellos mismos. Las fórmulas matemáticas, y los principios físicos utilizados para establecer la relación entre el caudal y la presión diferencial de estos generadores de presión diferencial, son muy conocidos, muy contrastados y fáciles de comprobar. La diferencia de presión generada por el elemento se mide con un transmisor de presión diferencial conectado al proceso, mediante dos líneas de conexión de presión. El elemento generador de presión diferencial es mecánico, no tiene partes en movimiento, es robusto y bien conocido su comportamiento frente a desgastes por rozamiento, o a taponamientos por ensuciamiento. Cuando se selecciona el material adecuado es prácticamente inalterable, y por ello, exento de averías. Los elementos # '' ' › 'P '/S$'/$& )¾#›$''  ]' $' $''/$ BE J ' miento continuo, sin necesidad de ningún tipo de mantenimiento.

187

188

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Cuando se sospecha que la medida tiene un error superior a lo previsto, se puede esperar a la próxima parada del proceso para inspeccionar y cambiarlo, si es necesario. Se puede esperar hasta la próxima parada, porque este tipo de elemento puede dar un error que irá aumentando lentamente durante un largo periodo de tiempo. La tendencia de la presión diferencial generada siempre sigue los aumentos y disminuciones del caudal, y permitirá efectuar el control del mismo, aunque pierda precisión en la medida. Con la excepción de un taponamiento en las líneas externas, cuando pasa caudal, no hay nada que bruscamente pueda impedir que se genere presión diferencial en el 'P '  / $& /S$'¾#G    '' ) &'$$&'/  '  ' '' ) 'Pcación de sus dimensiones internas, comparándolas con las originales, para controlar los desgastes por rozamientos.   )  'P $ 3#  $$''    se producen en las líneas de conexión de alta y baja presión al transmisor. Los problemas vienen dados por las columnas de líquido que se forman y por los taponamientos o fugas que se pueden producir en las líneas de conexión. Más adelante se indican técnicas de montaje, para eliminar o minimizar los problemas de las líneas de conexión. El tubo Annubar es otro elemento que se utiliza para medida de caudal por presión diferencial. Proporciona una medida de caudal menos precisa que la del resto de los generadores de presión diferencial. Son susceptibles de mal funcionamiento $  '$ #Q/'  ]' $' $''- recomendables para su utilización en funciones instrumentadas de seguridad. 8.2.4. VENTAJAS E INCONVENIENTES EN LA MEDIDA DE CAUDAL Comparando las medidas de caudal de los instrumentos insertados en el proceso y la variedad de técnicas utilizadas, con la medida basada en la presión diferencial, se puede apreciar que dependiendo del tipo de medidor adoptado en cada proceso, se  ''$ 'P $  '&''  $''$)  & ción o sustitución del instrumento de medida, en caso de avería. En los medidores por presión diferencial, la mayoría de los problemas se producen en las conexiones al proceso y en menor número en el transmisor. Ambos son externos y pueden ser reparados o reemplazados, mientras que el proceso sigue en funcionamiento. En los detectores insertados en las tuberías, cuyos instrumentos no se pueden desmontar de las mismas sin parar el proceso, la mayor parte de las averías del sistema detector transmisor necesitan equipos complejos, y requieren su desmontaje para poderlos comprobar. Esto obliga a parar el proceso o a disponer de línea de baipás y válvulas de aislamiento, para poderlos desmontar. En las funciones relacionadas con el control y los sistemas de seguridad, sería preferible utilizar los elementos y sistemas de medida más fáciles de comprobar, más

Elementos de campo del Sistema Instrumentado de Seguridad

P &$ & Q) ' $+&Q$'3  paradas imprevistas de la instalación y, sobre todo, que los instrumentos estén disponibles cuando la seguridad lo requiera. 6  $''   '$$  Q  '' )  ) 'P $   prueba, para funciones tales como: medidas para comprobar rendimientos, balances, ajustes de la operación y en general donde la precisión de la medida es importante, pero no absolutamente necesaria para el funcionamiento, la producción o la seguridad de la planta. Si durante el ciclo de trabajo entre paradas estos instrumentos tienen alguna avería que no pueda ser reparada en funcionamiento, quedarán fuera de servicio durante un largo periodo de tiempo, pero se mantiene la producción y el nivel de seguridad, si no se utilizan para estas funciones de manera directa. También se pueden utilizar más ampliamente los instrumentos que van insertados en plantas de trabajo discontinuo, donde las paradas por cambio de tipo de producto son muy frecuentes, o en plantas de producción que tienen partes del proceso con sistemas de trabajo intermitentes. En caso de avería y parada de producción parcial, podrán ser reparados o reemplazados y su repercusión sobre la producción será reducida, si los procesos son independientes unos de otros. Para los sistemas de seguridad de la planta, la disponibilidad de los instrumentos 3$'   ' &''$ ' //P$''  instrumentos que se puedan comprobar fácilmente y que se puedan reemplazar por otros, en periodos de tiempo muy cortos, sin que sea necesario parar los procesos. ’% j j%   j Observemos una planta de procesos, diseñada con exigentes criterios de seguridad. El periodo de funcionamiento continuo entre paradas programadas es de tres años. En un horno de proceso, se calienta un producto derivado del petróleo, que va controlado en caudal. Para garantizar la seguridad de los tubos, y para que no se sometan a temperaturas excesivas cuando baja el caudal de un valor determinado, se debe producir una alarma de aviso. El operador del proceso tomará alguna acción de las varias previstas, para solucionar el problema. Por diversas razones, si el caudal sigue bajando y se llega a un valor inferior al de seguridad predeterminado, automáticamente se debe producir una acción de seguridad que proteja los tubos de la alta temperatura que se alcanzará en los mismos, como consecuencia de que el bajo  '# P '$$  '#' / '$ $  sobre el sistema de combustión para poner los quemadores al mínimo, e incluso, bloquear y apagar los que sean necesarios para que baje la temperatura. En esta aplicación, el caudal de entrada al horno se debe controlar utilizando un transmisor para el lazo de control. Para producir una función de alarma previa, se debe detectar el caudal mediante un transmisor con conexiones independientes del de control. Para la función automática de seguridad, se debe detectar el caudal mediante un transmisor con conexiones independientes del de control y del de alarma previa.

189

190

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

En la aplicación, son necesarios tres transmisores para las funciones de control, de alarma y de seguridad. Cualquiera de estas funciones –la función de alarma requiere además la intervención del operador es capaz de mantener el proceso en condiciones aceptables de trabajo. El fallo de las tres funciones podría llevar el proceso a una situación de peligro rotura de los tubos por sobrepasar la temperatura de funcionamiento seguro. Considerando las funciones indicadas en esta aplicación u otras similares, se ha de analizar la posibilidad y facilidad de comprobación de los instrumentos ante un fallo de los mismos, o ante un plan de pruebas preventivas para asegurar el funcionamiento correcto. Se debe analizar si se pueden probar cuando están instalados en el proceso, o si es necesario tener que desmontarlos. También se debe analizar la posibilidad de reemplazar o sustituir piezas, o el instrumento completo, ¿se debe parar el proceso?, o puede seguir funcionando durante la prueba o reparación. Considerar los costes para las válvulas y líneas de baipás necesarias para los instrumentos insertados. Considerar el tiempo necesario para reparar externamente a la compañía cada instrumento y los costes de envío y devolución. ¿Se puede tener un instrumento de reserva como respaldo de muchos?, o cada instrumento es particular y se requiere una reserva por cada uno. Cuando se eligen los instrumentos para funciones instrumentadas de seguridad, se deben considerar y analizar todas estas preguntas. De acuerdo a lo indicado en otros capítulos, sabemos que puede haber funciones de seguridad que por el nivel de riesgo asignado en el análisis, requieren no solo uno, sino dos o tres transmisores independientes, para satisfacer las exigencias de diseño, bien por arquitectura, por probabilidad de fallo ante demanda, o por ambas exigencias al mismo tiempo. En centenares de aplicaciones similares al ejemplo mostrado, se utiliza la medida del caudal mediante la técnica de presión diferencial y transmisores independientes para cada una de las funciones de control, alarma y seguridad. 8.2.5. MEDIDA DE CAUDAL POR PRESIÓN DIFERENCIAL La medida de caudal por presión diferencial se produce cuando en la tubería se introduce un elemento que produce un estrechamiento, y cuando pasa el caudal través del mismo se genera una presión diferencial entre la entrada y la salida del elemento. El caudal que circula por la tubería es proporcional a la raíz cuadrada de la presión diferencial que se genera. Se mide la presión diferencial con un instrumento conectado al proceso mediante dos líneas de impulso de alta y baja presión. El transmisor genera una señal de salida electrónica, que es proporcional a la presión diferencial medida por sus cámaras de alta y baja presión. El instrumento es externo y se puede independizar fácilmente del proceso, mediante válvulas de cierre en las líneas de impulso. En estos casos, los instrumentos y las líneas de impulso se pueden aislar del proceso sin que se tenga que interrumpir el mismo.

Elementos de campo del Sistema Instrumentado de Seguridad

Los elementos más utilizados para conocer el caudal mediante la medida de la presión diferencial que generan, son los que se indican en los siguientes párrafos. }  & Dependiendo de los tipos de productos a medir, fundamentalmente de la viscosidad y del grado de impurezas o sólidos en suspensión que pueda contener, existen las '#'$ ' $  'P '7G 'P '  4$' /'P '  #$/ 'P 'O 4$' / &   $  / cónica, o con otras formas especiales para distintas aplicaciones.

Figura 8.9. Placa de oricio concéntrico.

  'P '  4$' ) '$ ' $$ $   ampliamente utilizado en la mayoría de las plantas industriales, para la medida de gases, vapores y líquidos relativamente exentos de sólidos y con baja viscosidad. Las principales razones para ello son: su bajo coste, su robustez, su adaptabilidad a todo $']' # 3'/ ''&''  P '$ 'sión obtenidos a través de multitud de pruebas realizadas en laboratorio, y la dispo'&'' $ ) &'P'     /'J'$  '   $ $']Q  '$ ' )  ' &' ]+  ' ']Q $ $' $ &$'/  $'P ' $)&$&'

191

192

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

+O'$ '      /'J'$  '  'Pcio. Una de las más utilizadas es la Norma ISO 5167-2. $ ' $ Q  'P '/''$$$' que sea, se debe inspeccionar cuidadosamente para que el montaje sea correcto y #' )#  '' '   6'  'P ' ha sido bien calculada, el material para su construcción ha sido bien seleccionado   ]' '/) ' ')$ Q   $ $/manecer en su lugar de instalación durante veinte años midiendo adecuadamente, sin causar ningún problema. G   '  '' '      'P '/O'$ varias formas de situar las conexiones de presión respecto a la placa, las más utilizadas son:  &

   '    # Es el tipo de conexión más utilizado en tuberías de dos pulgadas de diámetro o mayores K'# ?DEL'$$'' ''#'$7ÃDB/H/HEÄ*ÄDEEE /E/DÄÅÄE/>H/T()(eDÃHEEE)(eDÃD>EÅ2 D. (D en mm).

Figura 8.10. Conexiones en bridas.

Los ejes de cada una de las dos conexiones de alta y baja presión están situados a una pulgada antes y después de la cara anterior A y posterior B de la placa. Se deben considerar los espesores de las juntas colocadas entre las bridas y las caras A y B de la placa. Es importante la observación de las distancias de las tomas para no

Elementos de campo del Sistema Instrumentado de Seguridad

']' P '$  )$ $  '' ' 6   siguientes tolerancias: 25,4mm r 0,5mm cuando simultáneamente se da que E>0,6 y 58 mmB DE?E  XXEEOD XXEE  KD?EE½DHEELÌE/>B BX>A  XXEEOD XXEE 

Después de ajustar el transmisor de nivel con las presiones indicadas se debe observar que al instalarlo hay que llenar las columnas de las cámaras de alta y baja presión con los líquidos de igual densidad a los previstos en la calibración. Si la columna permanente de la cámara de baja se llena con un líquido que con las variaciones de presión y temperatura se va mezclando con los gases o vapores existentes en el recipiente, a lo largo del tiempo se tendrá un producto de diferente densidad del original y habrá error en la medida. Con estos transmisores, la mayoría de los problemas en la medida de nivel se derivan de la columna de líquido en la línea de la cámara de baja presión. Si el líquido en el interior del recipiente está a temperatura diferente del líquido existente en la cá-

Elementos de campo del Sistema Instrumentado de Seguridad

mara de baja (que está a la temperatura ambiente) tendrá diferente densidad y por ello habrá un error en la medida proporcional a la diferencia de densidades. Si el líquido existente en la cámara de baja puede evaporarse en función de la presión interior y de la variación de la temperatura ambiente, el error puede ser muy grande. Si la columna de la cámara de baja, que debe ser permanente, se evapora y se condensa en función de las variaciones de presión o de temperatura en el recipiente, o en función de las variaciones de la temperatura ambiente, la medida del nivel se hace imposible. GQ/P $)$3' O'$   los que los productos están en equilibrio líquido gas a la presión y temperatura interna de trabajo, por ello se debe tener cuidado en la elección de este tipo de medidor, dependiendo del producto a medir (Figura 8.43). Las líneas de conexión están sometidas a las variaciones de la temperatura ambiente y puede que el producto que está en el interior de las líneas en equilibrio se condense o evapore. Si se pierde la columna de líquido en la línea de baja presión, el error será tan grande que se pierde la medida.

Figura 8.43. Conexiones para medida de nivel en recipiente presurizado.

*   

   Cuando el producto que está en el recipiente tiene características que impiden utili $$'' 7]'  $ ' ' $'  $'3 evitar la contaminación del mismo, se utiliza la opción de medir el nivel del recipiente con transmisores de presión diferencial con las cámaras conectadas a sellos 3' $ $ 4 ' 3 $']' $' silicona o aceite vegetal. La medida de nivel de un recipiente, mediante transmisor de presión diferencial con sellos y capilares se puede ver en la Figura 8.44.

245

246

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Figura 8.44. Medida de nivel. Instrumento con diafragmas separadores.

Con este montaje se debe tener en cuenta que en procesos continuos se tienen que poner válvulas de aislamiento entre los recipientes y las bridas de conexión de los sellos y capilares a los instrumentos para que se puedan desmontar, probar, reparar y mantener los instrumentos, sin afectar al proceso y sin tener que hacer paradas imprevistas por averías en los instrumentos o en las líneas de conexión.   Los instrumentos de presión diferencial utilizados para la medida de nivel tienen las mismas características y valores que los utilizados para la medida de caudal, lo indicado allí en el párrafo de seguridad aplica igualmente para estos transmisores. Recordar que los problemas en la medida de nivel por presión diferencial se dan por las columnas de líquido en ambas cámaras. Si el líquido de las columnas es muy estable ante las diferentes condiciones del proceso y ambientales, la medida puede $ P &  $ ' Medida de nivel con desplazador Los instrumentos de desplazador fundamentan su principio de medida en que detectan la diferencia de peso del desplazador, cuando está sumergido en uno o en dos lí3'$ $'P '$' /3$'     no hay ningún líquido que efectúe empuje sobre el mismo.

Elementos de campo del Sistema Instrumentado de Seguridad

El empuje depende del volumen desplazado por la parte sumergida del desplazador, de la densidad relativa y del nivel del líquido. La diferencia de fuerza ejercida sobre el desplazador se transmite por medio de un sistema de barras de torsión o un muelle que se comprime y a un transductor que permite variar un campo inductivo, el cual, acoplado a un circuito electrónico genera una señal de salida proporcional a la altura del nivel. En la Figura 8.45 se puede ver el principio de funcionamiento de tres transmisores de nivel electrónicos del tipo desplazador. En la parte izquierda se muestra $'$ '   ' 3 P Q$'/ detector inductivo en el alojamiento de la cabeza electrónica. En el centro, otro medidor con una vista seccionada del cuerpo del desplazador y del brazo de torsión. El eje de torsión puede llevar acoplado un sistema inductivo con circuito electrónico, o un sistema lengüeta tobera y un transmisor neumático. En la derecha se aprecia una sección esquemática de otro tipo de transmisor electrónico en el que el sistema de brazo de torsión es sustituido por un muelle de rango. El desplazador lleva en la parte superior un núcleo móvil que se desplaza en el interior de un transformador diferencial lineal variable (LVDT) acoplado a un circuito electrónico, el cual produce una salida de 4 a 20 mA en función del pequeño movimiento del desplazador y como consecuencia de la variación de la altura del nivel de líquido. En la parte superior hay un tubo, generalmente de acero inoxidable, que está unido a la brida superior del cuerpo y que hace de aislamiento de cierre entre el producto y la electrónica del transmisor. Por el interior se desplaza el núcleo y por el exterior están enrolladas las bobinas del transformador.

Figura 8.45. Medidores de nivel de desplazador.

247

248

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

De acuerdo a lo indicado anteriormente, al aumentar el nivel, el líquido ejerce una fuerza de empuje que contrarresta el peso del desplazador y el esfuerzo en el tubo de torsión será bajo. Por contra, al bajar el nivel la parte sumergida disminuye, el empuje disminuye y el esfuerzo en el tubo de torsión aumenta. La longitud y diámetro de los desplazadores depende del rango de medición. Se

'   '']' $' $'') ' 6$''  con muy buen resultado para medir de nivel interfase. Este tipo de nivel se adapta bien a una gran variedad de los diferentes productos que se manejan en plantas petroquímicas, y por ello se utiliza ampliamente en estos procesos. Se debe tener en cuenta que por su principio de funcionamiento, la exactitud de  ' '  $   &' ' ]'G   ' control o de seguridad, la imprecisión de la medida por la variación en la densidad del líquido no se considera muy importante. Sin embargo, sí se aprecian la disponi&'' / P &'' )& Q $''$  J ' $'# P &'' )$''     $/   alarma o para actuaciones de seguridad. Debido al mayor coste inicial de estos instrumentos y a la mayor envergadura de montaje, en muchas funciones de alarma o #' /&$ ' ' 'P #'   $ ' $/$'$)'$$'$$'$'&) ]$  Los niveles tipo desplazador se pueden instalar directamente al recipiente mediante una brida, pero es preferible montarlos separados del recipiente con un stand pipe o en un tubo de derivación y con válvulas de aislamiento, para poderlos calibrar y ajustar sin tener que parar el proceso. En la Figura 8.39 se representó el esquema de un stand pipe, con la agrupación de los posibles instrumentos de nivel de un recipiente como son: nivel de vidrio armado LG, transmisor de nivel del tipo desplazador LT, interruptor de bajo nivel LSL e interruptor de alto nivel LSH.   $ ' $' '  '$$  'P  tipo B, con fracciones de fallo seguro SFF del 92% del total de fallos. Se asume que el sistema de lógica del SIS detecta si la señal del transmisor está fuera de rango. Se comprueban datos de catálogos de transmisores de nivel utilizados en el mercado y se obtienen valores de tasas de fallos peligrosos no detectados ™DU = 0,6 x 10-7 fallos por hora. Para una aplicación que se actúa con un solo transmisor de nivel (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 0,6 x 10-7 x 8760 / 2 = 2,62 x 10-4 La tasa de fallos se garantiza durante el periodo de vida del instrumento. Basándose en datos generales de fallos en campo, se estima un periodo de vida útil para estos instrumentos, de aproximadamente 15 años.

Elementos de campo del Sistema Instrumentado de Seguridad

$ %jj ! % — ‹  Los tipos de interruptores de nivel más utilizados en petroquímicas son los de boya ]$  $      ]$ 3$' Q ) extremo tiene una parte magnética, esta parte, al pasar frente a una zona determinada, atrae un imán unido a un sistema basculante que actúa un microrruptor con contactos sellados y aislados del medio ambiente. En la Figura 8.46 y solamente con objeto de mejor visualización, se representa una ampolla con una gota de mercurio que abre o cierra un circuito. La apertura del interruptor puede actuar en un circuito para activar una alarma, o sobre una función de seguridad para actuar la protección de un equipo.

Figura 8.46. Interruptores de nivel de otador.

La conexión en modo de fallo seguro tiene en cuenta el fallo mecánico y el fallo eléctrico. Desde el punto de vista mecánico, en la función de actuación por bajo '/  ]$ $ & Q''  ''$$$ #    $ #4$' O$']$ /) mantiene el mecanismo del interruptor en la posición mostrada en la derecha de la P#   O'4 $' '$$/$ TK L) $ abierto (NA) está abierta.

249

250

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Cuando el nivel está en su posición correcta, por arriba de su punto de actuación, el imán y la parte magnética se atraen y vencen la fuerza del muelle, el interruptor &' )$    '3'  P#   O'4 $' 'terruptor entre el común (C) y el normalmente abierto (NA) está cerrada. En esta forma, no hay alarma o actuación de seguridad, el circuito eléctrico está vigilado por estar cerrado, y cualquier anomalía en la apertura de los cables, en el fallo de la alimentación, en el fallo de un relé energizado, o con cualquier otra anomalía sería detectada inmediatamente al producirse una apertura del circuito. El sistema actuaría ante el fallo, llevando al proceso a la condición de seguridad prevista. Por el contrario, si utilizamos el contacto abierto en condiciones normales de  '/3  '$   $K P# $''  malmente cerrado NC, dado que se representan en su estado de reposo, sin nivel, sin presión, sin caudal y a temperatura ambiente). Cuando el nivel baja, que es la condición peligrosa ante la que se debe actuar, puede que el imán y la parte magnética no tengan fuerza para tensar el muelle, o los cables del circuito eléctrico no estén conectados, o no exista alimentación en el circuito. Puede haber sucedido cualquier cosa que impida el funcionamiento correcto de la función de seguridad, no hay vigilancia del sistema, y no hay garantía de actuación cuando más falta hace. El diseño a fallo seguro (fail safe) de cualquier circuito, es el que tiene la menor posibilidad de fallo ante una demanda de actuación. El instrumento tiene una caja donde se sitúan el microrruptor y los bornes de conexiones eléctricas. La envolvente, debe tener el grado de protección adecuado a la  'P '  $4'$    + $' $'   ]$  'O' &6XDA6$''  o titanio, cuando el producto a medir o las altas presiones y temperaturas lo requieren.   O') $ Q P# '  stand pipe mostradas anteriormente y en la Figura 8.47. Normalmente se referencia el pun$ $ ']$   $ Q $ ' Cuando el instrumento se utiliza para actuar una función de seguridad, con objeto de minimizar el riesgo de taponamiento, se utilizan dos stand pipe y se reparten los instrumentos entre ambos. En uno se conecta el interruptor de disparo y un nivel visual de vidrio y en el otro se conecta un nivel de vidrio, el transmisor de desplazador y un interruptor de nivel con la función de alarma previa. Cuando se requiere alta P &'' )''&''   '#' )$'' $'$$ en disposición dos de tres para la actuación, los instrumentos se distribuyen en dos stand pipes. Con estos instrumentos en la disposición dos de tres se debe generar mediante $9     '   ' 6$ $ '  '$$' cualquiera de los interruptores está en posición distinta de los otros dos. Siempre que exista una actuación de seguridad, a un nivel previo al disparo, se debe poner un interruptor con función de alarma previa. Esta solución, en la mayoría de los casos, permite tomar acciones que evitan llegar a la situación de riesgo del nivel de seguridad o disparo.

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.47. Montaje de interruptores de nivel.

  '$$'&) ]$ '/  ' '$ ' )' $ $'6G*R*G*R/'$$  'P $')$' fracciones de fallo seguro comprendidas entre el 60 y el 90% del total de fallos. Comprobando datos de catálogos de diferentes interruptores de nivel utilizados en el mercado, se obtienen valores de tasas de fallos peligrosos no detectados de 0,11 x 10-7 fallos por hora con micro ruptor SPDT y de 0,08 x 10-7 fallos por hora con micro ruptor DPDT. El DPDT se utiliza poniendo en serie los dos contactos NA (normalmente abiertos) del doble microrruptor, cuando la función tiene que actuar por bajo nivel. R         ' $ 6G*R/ ™DU = 0,11 x 10-7 fallos por hora. Para una aplicación que se actúa con un solo interruptor de nivel (1001) y en la que se efectúa una prueba del instrumento cada año, se obtiene la probabilidad media de fallo a demanda: G* # ™DU x TI/2 = 0,11 x 10-7 x 8760 / 2 = 4,82 x 10-5 La tasa de fallos se garantiza durante el periodo de vida del instrumento. La vida útil recomendada por los fabricantes para estos instrumentos en aplicaciones de seguridad, está condicionada por el tipo de microrruptor utilizado. Se debe pedir $'P '$$  $) '' &'  suministrador.

251

252

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

Medida de nivel por onda guiada El sistema de medición de radar por onda guiada (TDR time domain reectometry) consiste en enviar la onda de radar a través de un cable o varilla metálica introducido 3'/33'''  ]Q      &'&   $ $'4 $' ]'3$#' el cable. Véase la Figura 8.48 para ilustrar la medida de nivel por onda guiada. Puede ser instalado en un recipiente grande en un tubo de derivación para hacerlo indepen'$ ''$/$&''  ''  P# )    stand pipe como si fuera el cuerpo de un transmisor de desplazador.

Figura 8.48. Medida de nivel por onda guiada.

+  $' P# 3 )'' '' /     &)  #  3']Q   $/ vuelven al elemento emisor receptor y son detectadas. Conociendo el tiempo transcurrido desde que se emitió hasta que se ha recibido, el procesador del instrumento calcula la altura del nivel. La señal de salida del transmisor puede ser de 4 a 20 mA correspondiente a 0-100% de nivel. Los instrumentos de medición de onda guiada se pueden utilizar con gran variedad de líquidos y con algunos sólidos. No son afectados por la humedad, por la presión, por la temperatura ni por la presencia de polvos o vapores. Se pueden utilizar para efectuar medidas de interfase entre dos líquidos. Los pul #'  $ 4   ' ]O'$ $  P '3'   $ ' $ $'4 $' '$'$   ]O' G $    #  $'T  ' Q   $ 4  ]' ) $  ''$' ]O'''  ''$ 

Elementos de campo del Sistema Instrumentado de Seguridad

Figura 8.49. Medida de nivel interfase por onda guiada.

En la Figura 8.49 se puede ver el principio de medida de nivel interfase por onda guiada. Para las aplicaciones de interfase se tienen que cumplir los siguientes requisitos: ^

^ ^

^

El producto superior debe tener una constante dieléctrica más baja que el producto inferior. La diferencia entre las constantes de los dos líquidos debe  )  $' PQ   &' $' Dependiendo de la sensibilidad del nivel, la capa de producto superior debe tener un espesor mayor a una cantidad dada por el fabricante. La medida de interfase con elemento externo o acoplado a un stand pipe, puede realizarse solamente si el líquido de menor densidad está siempre por  '  $ ''O$S' P# &  3  3'' ] $ $ $ )$ el depósito por debajo de la conexión superior, en el tubo de la derecha no habrá correspondencia con los niveles. En estos casos, el transmisor tiene que ser montado directamente en el recipiente. Se deben estudiar detalladamente las aplicaciones donde se utilizarán estos sistemas de medida. Los tipos de productos, los rangos entre los que pueden variar la viscosidad, la presión, la temperatura de operación y la constante dieléctrica, limitan las aplicaciones en que se pueden utilizar este tipo de medidores.

   $ '  '    #'    '$$  'P  $' AEL A/=BODE-7. Asumiendo que en este tipo de instrumento el 80% de fallos son seguros y que se

 &    J/ G* #''P    '7 R   '#™D = (6,92 x 10-7) 0,2 = 1,38 x 10-7. Intervalo de pruebas TI = 1 año (8.760 horas). G* # ™D x TI/2 = (1,38 x 10-7) (8.760/2) = 6,04 x 10-4 que es un valor similar al de 4,77 x 10-4 tomado de catálogo. Válvula de proceso para actuación de seguridad todo nada Tradicionalmente, las válvulas para los sistemas de seguridad se han utilizado en su    P# '   '     O' '         vamientos de seguridad de plantas petroquímicas, se ha podido comprobar que los

Elementos de campo del Sistema Instrumentado de Seguridad

distintos accesorios que pueden ser utilizados (posicionador, limitadores de señal

$ & Q /4&3/P   /'' ' '/$ L/ causantes de la mayor parte de las averías que impiden el funcionamiento correcto de apertura o cierre de la válvula. Por lo anterior, en los sistemas de seguridad se recomienda, siempre que sea posible, la válvula de bola con actuador mediante cilindro y pistón de simple efecto y muelles de recuperación. Con un giro, se abre o cierra la bola al asiento. En esta válvula, solo intervienen elementos mecánicos y el aire motor. El mayor problema de las válvulas con actuación todo nada, aplicadas en funciones de seguridad, es que permanecen en una posición abierta o cerrada, según sea la aplicación, durante mucho tiempo pueden ser varios años, y solo se actúan cuando existe una demanda por emergencia. Las causas de fallo en válvulas todo nada pueden ser: ^

^

En el cuerpo. Aumento de fricción, e incluso bloqueo por agarrotamiento, por corrosión entre materiales, o prensaestopas mal elegidos. Depósitos de sólidos y obstrucciones con cuerpos extraños entre obturador y asiento (menos probable en válvulas de bola por su geometría y paso pleno). En el actuador. Fugas de aire en el circuito de mando. Resortes mal dimensionados, con poca fuerza, o rotura de los mismos.

Se ha realizado un estudio sobre una muestra de 46 válvulas de proceso utilizadas en sistemas de seguridad, con actuación todo nada, mediante actuador de cilindro y resorte para llevar a la posición segura. A fallo de aire, las válvulas cierran. El cuerpo es de bola. Llevan funcionando una media de 25 años, en distintas unidades de proceso continuo. Están instaladas en intemperie y clima bastante lluvioso. Se han analizado las incidencias de mantenimiento de los últimos cinco años y se ha observado lo siguiente: ^ ^ ^ ^

Cambio de actuador por rotura del prensaestopas. Fuga en las bridas.  ]Q  &' &3   $ ' Tubing de aire roto.

El MTTF (tiempo esperado de fallo de la válvula) es de 46 x 5 / 4 = 58 años.  $     ™ D8RR D8KH?O?>AEL D/=>ODE-6. Asumiendo que en este tipo de válvula, solo el 25% de fallos son seguros y que   &    J/ G* #''P    7 R   '#™DU = (1,97 x 10-6) 0,75 = 1,47 x 10-6. Intervalo de pruebas Ti = 1 año (8760 horas). G* # ™DU x Ti/2 = (1,47 x 10-6) (8760/2) = 6,43 x 10-3. 8.6.3. PRUEBA DE CARRERA TOTAL A LOS ELEMENTOS FINALES DE CONTROL G&  ' '$$P  $   $  '/ conlleva riesgos de parada, o al menos, de causar perturbaciones en el funcionamien-

269

270

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

to normal de la misma. Una válvula que está abierta y que solo debe cerrar ante una situación de emergencia, o que está siempre cerrada y deba abrir para desalojar una presión o para aportar un producto que corte una reacción, solo se debe actuar para evitar un mal mayor. Hacer pruebas en estas válvulas, cuando el proceso está bien, no es aconsejable. G     $  &    $ P   $/    $  & estar parada. Esto es lo que se hacía hasta muy recientemente con los sistemas de seguridad de las plantas industriales, cuando se paraba por una emergencia, o por      'P   $''$/  & )  &  '$    '$/  'P  $ '+ T' $ que se podían abrir o cerrar las válvulas del proceso sin causar problemas al mismo, por estar parado. '     'P   ' ' #/) /$ '  $4 ' /   '$  $'P   ) P &'' 33$ $'$ #' 6 &3 la probabilidad de fallo para actuación ante demanda PFDavg disminuye a medida que aumentamos la frecuencia de las pruebas. Si la planta tiene que estar en funcio '$)$'3 &  $P  $/ 'J '$  ' '$)'P /  3 se puedan hacer las pruebas sin perturbar notablemente el proceso, y para que se mantenga la seguridad. La prueba de carrera total en línea es crítica para mantener la disponibilidad de la seguridad del SIS. Aumentar la frecuencia de la prueba, es directamente proporcional a la bajada de la probabilidad de fallo a demanda PFDavg, y por ello, al aumento del nivel de seguridad SIL. Analicemos cómo se pueden hacer pruebas a válvulas de proceso dedicadas a aplicaciones de seguridad, en tres ejemplos de procesos continuos. Ejemplo 1. Protección de un reactor por alta temperatura o alta presión 

Proceso

El reactor debe operar a una presión y temperatura constantes para que una parte del producto reaccione y se transforme en otro de más valor añadido. La reacción es exotérmica y se mantiene estable dentro de unos límites de temperatura y presión. Se controla la temperatura de la entrada al reactor por la parte inferior, mediante un lazo de control y un intercambiador de calor. En operación normal la temperatura de salida puede variar entre ciertos valores sin causar ningún problema. 

Situación de riesgo

Por grandes variaciones en la calidad del producto tratado, por tener en la entrada una temperatura muy elevada debido a un mal control, por mala distribución del ca-

Elementos de campo del Sistema Instrumentado de Seguridad

talizador en el interior del reactor, o por una combinación de los diferentes factores, a partir de un cierto valor de temperatura más alto que el de operación normal, la reacción se multiplica y es necesario pararla, para evitar que la alta temperatura que se genera cause daños al reactor, y a otros equipos del proceso. 

Actuación de seguridad

Para cortar la reacción, lo más efectivo es despresurizar el reactor mediante la descarga del producto a un sistema de antorcha. El riesgo por alta temperatura es grande y para evitar el fallo de una sola línea de descarga, se diseñan dos líneas de igual capacidad. Cualquiera de las dos desaloja el  P '$  & Q  '' $) $   'K4 '#  8.61). Por alta presión o temperatura, la lógica del sistema de seguridad quita tensión a las válvulas solenoides UY las cuales, cortan el aire de instrumentos a las válvulas de proceso UV y ventean la presión de las mismas para abrirlas. La posición de se#' KWL  &G    '#/P '$ 3 &      '' 'DB P &''  $ ' $ /$ &'4 alta la posibilidad de fallo no deseado.

Figura 8.61. Protección contra alta presión con doble circuito de salida.

Para aumentar la disponibilidad de la planta y disminuir los fallos espurios no deseados, en cada una de las dos líneas de despresurización a antorcha se instala un sistema como el de la Figura 8.62. En este sistema, la disposición de dos válvulas 'N[  $   ''  P# /'$ ' ' el fallo de una solenoide. Para que exista actuación de disparo y se pueda abrir la válvula UV, es necesario que las dos solenoides estén sin tensión. En esta situación, el actuador de la válvula

271

272

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

se despresuriza por el venteo de la solenoide superior derecha. Por otra parte, con la capacidad de almacenamiento TK y la válvula antirretorno, se evita el disparo espurio por el fallo del aire de instrumentación AI. Con la doble línea de despresurización tendremos seguridad de disparo, y con los elementos del sistema que se instalan en cada válvula, se evitan los disparos espurios.

Figura 8.62. Protección contra disparo espurio.



Cómo se puede probar este sistema con la planta en funcionamiento?

Cuando se diseña una planta y se aplican sistemas instrumentados de seguridad con todo su rigor, se han de prever los medios para hacer pruebas completas a todos los elementos que conforman un SIF, con la frecuencia prevista en los cálculos. Para este caso, en la Figura 8.61 antes y después de cada válvula de seguridad UV se dispone de dos válvulas de actuación manual marcadas (LO, lock open) bloqueadas abiertas. Estas válvulas se evitaban en diseños antiguos, porque el bloqueo por error de una de las mismas invalidaba el sistema de protección. Ahora, las válvulas se deben bloquear abiertas mediante llave mecánica. El desbloqueo para poderlas cerrar obliga a la utilización de un procedimiento administrativo que será utilizado para las pruebas de carrera de las válvulas. En el Capítulo 14 del libro se describe con detalle la forma en que se han de efectuar las pruebas de los SIF. Se dispondrá de un procedimiento muy detallado, indicando permisos, quiénes realizaran la prueba y sus responsabilidades, los planos que se deben manejar, descripción de las señales involucradas, lógica, tarjetas, regleteros, cables, cajas de conexión, válvulas a probar, con las indicaciones, alarmas y la secuencia de válvulas manuales que se han de abrir y cerrar, antes, durante y después de efectuar la prueba, observaciones, fecha de ejecución, etc.

Elementos de campo del Sistema Instrumentado de Seguridad

+$   $) )''P  7 -

-

-

Se comienza la prueba de la actuación de una válvula de disparo cerrando las dos válvulas manuales (L.O) situadas antes y después de la válvula UV, con lo cual se bloquea la salida de producto en una línea mientras que la otra línea sigue en servicio. Se abre el circuito y se quita tensión a las dos solenoides UY de la línea que se esta probando, la válvula UV abrirá. Se comprueba la correcta actuación de las válvulas. Se cierra el circuito y se repone tensión a las solenoides, con lo que la válvula UV se volverá a cerrar. Se abren las válvulas manuales (L.O) y se les pone un bloqueo mecánico para impedir que por error se puedan cerrar, lo que invalidaría el sistema de seguridad.

Posteriormente, se prueba la otra válvula siguiendo el mismo procedimiento. Dependiendo de si la prueba se hace por partes, sensores por un lado, lógica por $)$P $/   Q$ / ''$ pruebas puede ser más o menos complejo. Si se hace de forma conjunta, es posible que en la programación del sistema de seguridad se tengan que contemplar algunos condicionantes para las pruebas. Por ejemplo en este caso, en la posición de prueba 1, quitar tensión solo a la salida 1, y en la posición de prueba 2, quitar tensión solo a la salida 2. Si se decide hacer la prueba a todo el conjunto al mismo tiempo sin cambiar el programa, sería necesario bloquear al mismo tiempo las cuatro válvulas manuales. En esta situación, si en el proceso se produjera un disparo real durante la ejecución de la prueba, este no produciría efecto por tener las válvulas manuales cerradas, con la consiguiente situación de riesgo. ’% /   10–9 to < 10–8

G$ $ 'P '/ $ & '   3'$ $  6/&      $ & &''    /3 T    6   estar disponible y por lo tanto el sistema desprotegido. G  $ $' 'O'$ '4$/33  

 $' '/'O$'& 

""-¦kŽ$Ž*$//–Ž$H}:Ž¢H¢++$H$$‰HŽ $H$Hƒ}‰$„ $   $' $  '$'$  3'$ $   6/  $'  $$' $) #  & &''     KG*L) & &''    ' KG* #L/

331

332

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

   ' ''P   ) $'  $     $''     &  periódicas parciales.

L 6P & &''  KGL 

[  O' '7

M$'' '3 3&$#  ÔED/3  normalmente es nuestro caso.   && &''    KG*L/# & &''  KGL/ $   3 '  peligrosa,3  # '  $ '   '$)$ $ generan una no disponibilidad de la SIF. *$  7

PFD 1  eO D ut

[  '  O' ' $'7

PFD OD u t EJEMPLO 1: Un transmisor de temperatura ene una tasa de fallos =0.01 fallos por año ¿Cuál es su abilidad en un periodo de empo de dos años?: Planteamiento y solución: Calculamos la PFD:

PFD 1  eO D ut PFD= 1-e 0.01x2x8760 = 1-0.9802=0.0198 Teniendo en cuenta que la abilidad R=1-PFD. Resulta: :§#¨W# Si ulizamos la fórmula simplicada para el cálculo de la probabilidad de fallo en demanda:

PFD OD u t Sustuyendo los valores: PFD= 0.01x2= 0.02  la abilidad resulta: R= 1-0.02= #¨W Resultando valores muy parecidos.

Diseño conceptual del SIS de cada función

EJEMPLO 2: Un transmisor de temperatura ene una tasa de fallos =0.01 fallos por año, detectándose todos los fallos inmediatamente. El empo de reparación es de ocho horas ¿Cuál es su disponibilidad?: Planteamiento y solución: Recordemos que la disponibilidad es

DISPONIBILIDAD( A)

MTTF MTTF  MTTR

Los datos que tenemos son: MTTR= 8 horas MTTF= 1/ 0.01 = 100 años =100x8760 = 876000 horas Sustuyendo:

DISPONIBILIDAD( A)

876000 876000  8

0.9999908

[ ' 3  $ $ /   $ )  '  $'(RKR'(  'L/)3 '#$ $    &  6/ '/$ $ $&   KRL/3  7

&L 6P & &''  ' KG #L  '$# $' G/ 37

[ & &'' '    7

[ (RK $  L ' &$ RK $  JL/3   T$' ''P '7

M   '''P     6  3'$ $ DD/ &  ''  $ )'$ $ $'' '# $+ $ $T$'  O' ''#      '$ -

333

334

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

'P '     6$ 3&$' $ 

O' ')$''$  S  Q  PQ   $   $ 

 7 EJEMPLO 3: Supongamos que tenemos un transmisor de presión como elemento iniciador de una SIF y con los siguientes datos: kk‰ Porcentaje de fallos seguros (%Seguros) Cobertura de diagnóscos (CD ) Tiempo de reparación (RT) Intervalo de pruebas (TI)

'##

80% 60% 8h 1 año

Determinar la probabilidad media de fallo en demanda del transmisor de presión. Planteamiento y solución: Teniendo en cuenta la fórmula que hemos desarrollado:

Por lo que necesitamos daterminar las tasas de fallo. Estudiemos los datos de parda: a) ta:

MTTF es 500 años, como sabemos que la tasa de fallo es el inverso, resul-

Es habitual dar todos los resultados en horas y se considerará 1 año = 8760 horas. b) Ahora deberíamos determinar cuál es la fracción de fallos seguros y cuál la peligrosa. En el enunciado nos dicen que el porcentaje de fallos seguros es del 80%, por lo que si tenemos en cuanta la fórmula:

% Seguros  sustuimos los valores que tenemos:

OS OS  O D

Diseño conceptual del SIS de cada función

Resulta:

Y ahora determinamos el valor de OD

O

OS  O D

por lo que :

OD

O  OS

y sustuyendo:

c) Ahora que ya conocemos las tasas de fallos, debemos determinar cáales son fallos detectados y cuales no detectados. En el enunciado nos indica que la CD es del 60%, esto signica que el 60% de los fallos que se producen, ya sean seguros o peligrosos, voy a ser capaz de detectarlos, de esta forma:

Y restando del total, obtenemos la

d)

Y ahora que tenemos todos los datos podemos sustuir:

Por lo que resulta que la Probabilidad de Fallo en Demanda del Transmisor de Presión objeto del ejercicio es:

PFDavg

8,0219e -05

6'$ $ 3 & ''  $ /&$  '#'$  '7

+ 3  ' 3  $ ' '#$ $  es despreciable. # '  P)  &'#'''P   S  

 Q' )  &$  &        $ '3$' G* #

335

336

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

EJEMPLO 4: Considerando el mismo transmisor de presión del £}Ž": kk‰ Porcentaje de fallos seguros (%seguros) Cobertura de diagnóscos (cd ) Tiempo de reparación (rt) Intervalo de pruebas ()

'##

80% 60% 8h 1 año

Con los siguientes datos adicionales: Tiempo de vida de la SIF (LT) Cobertura de las pruebas manuales (

20 años )

90%

Determinemos la PFDavg. Planteamiento y solución: Consideramos ahora la fórmula

En la que se considera despreciable la aportación de los fallos detectados peligrosos. De esta forma:

Resultando que la Probabilidad de Fallo media en demanda es:

Algo menor que el resultado que habíamos obtenido considerando pruebas manuales completas. Esto signica que las simplicaciones nos hacen los cálculos más sencillos pero menos precisos.   &  &#' #$ 7— $   P &''    '   ˜7 + $A/$' +*/ $ $'/ &$' P &'' /   $+*/'$$& /&$ $'P 6/3$ &'4' ) $P &'' /O'$'$&   )   ' ' &'$  3  $ &

Diseño conceptual del SIS de cada función

+  3'        $'$  '  '    &    $ / '$ & KRL3'])   G*/) 3' $ $ ' /  $  '$ & / $  G*  $'

   $     '& &''    $' $ $''  ""-":¢Ž*$‰HŽ* +$  $ /$' ' & &''   $ W()  $ -*/  4 '    3'$ $ 6 &'$  )&$  & &'' 4O'$ 6% $'$' ' '/ ' # &3  $'' 7

L "&    $ -*

337

338

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

G  34$P K6L/$'3 $'' ' K)› & '   ' )' #$'  9  4' ?›S' ' ') '

FAT, Instalación, comisionado y validación del SIS

^ ^ ^

4' =› & ' '  4' DE› ' Q ) ' 4' DD›$# '&'$ 

"+*kHH/+ ž/Ž+*+ŽH$Ž +&Q$'  $  ''$  '$ '$$ #'      'P ') ¨)&Q$' ''  '' '$ '$$ #'   3$4      ' ' P '$  $$  $'' /&  /' ) &   'P ' $   7 ^ ^ ^ ^ ^

M4 $'' '$  ') ''    &:   ) O ' M'4   &$  $'' :) &''    ' :#   '$

   &: ''$   /' /$4 ' )cursos.  $ )'' $ 

*4   & &' /'$ $ $  &  e instalado.   '$  ' &         '$ '   3''$ K $'  $' $  $' '   #' L)  '3 $$  & $ $$ $   # 3  $3''$ instalación, condiciones y procedimientos. 6& '$  $66#T 'J'$  'R   ' ' $ 'J'   3') $ P

# 3 $' $  3''$'J   $''  '' &' 'K'''$  L P '

'#'$7 ^ ^ ^ ^ ^ ^ ^ ^ ^

 $'    $   $ $   O'4 $'    $   $ $)$ $'  $$ $) $' &   3'$  - )$' '# R'$$  '&   $ $ R'$$ $ $'  '  $  P# ')#  'G   #  +G ) $  8 ' $ $'  $  '$ ' ' '$ $'

375

376

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^ ^

$  $'$ )'4' $ $' R &    $ )& 

+''$  #' & &  & '$ '$ /   ' ' $   G /   '$ '  '$ / '$ $' ) $' G   #   ' '¨&'P 3 '  $  P# ')#  'G   # $ $ #'    '$   )'P $   ' '''/''$ '$ #'  #  '$# '  3'$ /'O'$+$ & 3'  '$ '  Q$  ''$ G )''$ 3'  '  +''$ $   ' ' ) $'' '$  6R) ' '   $ 3 )   ' $' $' mente la instalación y el comisionado y todos los registros de soporte de la inspec ') &  )  $ /' ) &   $ $ + ABX?B # T$'    & ' 4 $' )$$ '  $  '$  ') '' 

13.4. VALIDACIÓN DE SEGURIDAD DEL SIS O PRUEBAS DE ACEPTACIÓN /H}Žƒ}:–¢H**Hk„ +&Q$'  ' '66 '  $ 4' ')& /3 $ $'$ '$$ #' '$  ) '' /   ''$$  #'   '  /   3''$''    'P '3''$#'    ' '66' &  $ ' $ K6RL)$  $'#       $  ''$'$ $ ) $ 3 '$'P  3$ P' '  & 6R ' 4 '$  ') '' '$ K66L  $  /  $   ' ' '$ 4'$  ') ''  Esta funcionalidad debe demostrarse antes de que estén presentes los peligros identicados (por ejemplo antes del arranque de planta). $  6R/& &'$# )  $ $'$  $ $ $ 9 )$9  Los siguientes ítems deben comprobarse durante la instalación del sistema y an$   6R ^ ^ ^

R 9 $'$    $ $ R3'4 $' ) & $'$    $ $ R3'$' ) & $'$    $ $

FAT, Instalación, comisionado y validación del SIS

^ ^

R3' ' ') & $'$    tamente. R$9 $'$    $ $

+ 6R   '  $''    &' '  ' ' )  )     'P '  3''$  #'     #  3    $'   3''$ '  $$  $'' /&  /' ) &   'P ' $   7 ^ ^ ^ ^

M4 $'' &  $ '&    &7    )O ' M'4&    &$  $'' 7) &''     &$  $'' 7 'P ' '$

   &$  $'' 7 ''$   /' /$4 ' ) 

$  3'& )8'' $ &   '' $ 'J/  '  '$ ) 'P '/

$ '  $ '$  ''$ +$ ''&  $   6(6  & &   &   '$ ' &' $ 3''$ /)  '3 $$  & $ $$ $ &' $  ''$ $   ' '    ' /    '$  ' 3  encontrarse. En este punto del proyecto, es cuando se puede apreciar la importancia de tener  6(6  ) '$$3 )  '    '&) P '$66)6  $   ' ' '$    ' ' '  #'  ' $'$ $+ 3' $   $''  $' ' ' #'    # 3  '   $ $ )3  $ '$  $  6 ' &  P    P 3  '66$

 3''$'J$ $$4' 'K ' ' L  $ '$K ' $ L 6'  ' & R/' & $ ' '  $  ' '+3' ' '&' $   & R   # 3$   ' '$9  &   $' $' $)3$&  $  $ & R   #' G'  '$' & $9  ' '  $ de las pruebas SAT, siempre y cuando se cumplan las condiciones indicadas ante-

377

378

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

'$  $ & R¨'& #)  &    ' ' 6  $   ' ' '$ 4 '$  ') '' ) $3$4$'#'$'P  K $  3 $ L 6''  4'$  & R/   #   ' '66/$3&  3' $  & ''  $    ''$$  #' K6L'' '     #'  $ $P / 3 &    G )$P '#   &  $ ' '' P 13.4.1. ACTIVIDADES GENERALES  &  $ ' $  '    P 3¨ ^ ^ ^ ^ ^

R3''$ 6(6 '$  4O'$ R3' '$     '$ ' &' $ R3' '$ #T  #' K

'3L  6 ) '  3'6(6 R   $ ' ' ' ' #'  $ $ 

  ' '& '   $ $ '  )3'  ' /' )7 ^ ^ ^ ^

G  '  ' ) '# ' ) Q$ #  3/ $$' /  /' $$' / '  ( /' / $''$)& '  ' '    &$''&/Q/ ' ''$'P     '''#

+  &$''  '$  3   # 3 $ '# $$  ' ')&     6¨$ '$  3 $ &   6(6/ 3 )3 P 3$3''$ 6(6 '$  4O'$ $ & 6R )3$ $$3 #3

 '  &  '' )3' &  &$R # *'  $'&$ '$ $  8 ' 66 R  $  O'$ $   &  6R/ $ $ $'   '$)&P  $'P G&  $ ' &' K6RLK4 4' +: $'P 6R&   - + ABX?DL 13.4.2. INSPECCIONES DE LA INSTALACIÓN $   &  3'&  ' /3' ' ' '  3''$  )  $ ') $   P 3

FAT, Instalación, comisionado y validación del SIS

'$  ' '  6(6/ 3') '$ 'nes de instalación. +  $'  /  & P   6  3' '$    ' '     $ ') $'P    $'P 33'''$        ' '3' )' ''P '6    '  ''$ ') $''$&$   /' /' )$  ''$& '' '$  pruebas. +'$ $ P 3$ $'$  $#  '$ $ )  ' $ / '$   )  $   $ $[  3 3 )  ' T'#'P $' 3 3' $/ T33'$/ J'  $ $'$ '$'K $  L 13.4.3. PRUEBAS OPERACIONALES  &  '   '    P   ' '    SIF tanto en operación normal como en condiciones anormales.  '#'$& &   &   P 3  ' #'    $ $$ ) ''  6(67 ^

^

^ ^ ^ ^ ^ ^ ^

Comprobar la operación de los instrumentos de campo tales como entradas  K' )$   $L/3$' $ $   $ $)3'$$   # de medida adecuados. &  #' /Q3  '$$  ) '   $ )3Q $     $   ' ' 'so. S'P 3  ') '  /' )   $/ '   $ $ P 366$     ' '$ $#P   en anunciadores. & 3  '      $ & 3& '  $''$     $K' ) #  '  ' '   'L & 3           $ & 3& '  3     $ & 3$ $66  $'''  $    3' $   4'   ' ' K Q/ $ '  4 $' / '/ ]' '' / $ L ) P  3   '  ' '    $   /    ' '$$    #'   $  

379

380

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

^

^

^

^

P 3  $ $  ) '  $    ' & KQ/  #L/   &  acciones correctas (incluyendo la degradación del modo de operación). # 366 '     $K  3' L  '$ &'  $    3'$'$ 3 lo necesite P 3 $ 6'$  † Emergencia † Operación † Mantenimiento

; }j  ˜ H K 

439

440

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

%

} j< ! 

#

Ejecutor

H ƒ j    % j  /˜¸

% „

1.9

Ž% 

Normalizar el aporte de caudal al la línea del FT según sean las necesidades de planta.

†

1.10

k\    

Vericar que el circuit breaker de las P1111A y P1111B se deja no forzado.

†

%

:    % j<! 

# 2.1

< K $>K 

Ejecutor +  } 

H ƒ+ j     % j  % „

/˜¸

Registrar la prueba del lazo electrónicamente en aquellos documentos que lo necesiten.

< K $>K 

†

SECCIÓN 3  }µ+$·

³}µ+$

k>j }µ+$

B1-XXX1 B1-XXX2 $j  : 

‰  %   j 

Listar los documentos relacionados aquí:

En caso de Procedimiento No Runario rmar el siguiente apartado: Inicio:

Iniciales ___________________

Fecha ______________ Hora ________ Finalización:

Iniciales ____________________

Fecha ______________ Hora ________ :! 

Este procedimiento fue revisado por: (Nombre/Rol

(Fecha)

Mantenimiento y explotación del SIS

‘ 

Este procedimiento fue validado por: (Nombre/Rol)

H% <

(Fecha)

Este procedimiento fue aprobado por: (Nombre/Rol)

(Fecha)

   j ‰˜

: %

H!

01-01-2012

Ejemplo

Creación del documento

PARA NO OLVIDAR Para poder cumplir con la integridad requerida, no nos basta que los componentes del lazo sean robustos y que las arquitecturas y funcionamiento del lazo estén bien diseñados, tenemos que tener en cuenta también la manera en que operará este lazo y cómo lo mantendremos. Juega un papel importante aquí la periodicidad con la que tengamos que hacerle las pruebas a estos componentes, denominadas proof test, y la exigencia de las mismas. Recordemos que un testeo incompleto nos incrementará la probabilidad de fallo en demanda con el empo, y por tanto no conseguiremos alcanzar la integridad necesaria. Una buena previsión y gesón del po de prueba que tendremos que realizar nos facilitará la tarea en el momento de hacerla. Para ello es fundamental involucrar, en empo y forma, a las diferentes personas que posean el conocimiento y la experiencia necesarios. Muy importante es tener a toda la gente involucrada en el proceso entrenada, a priori, en aquellas acvidades que deban realizar.

/Ž*£Ž*}:/k+/Ž* Una considerable fuente de procedimientos po que pueden ser de gran ayuda y de donde este capítulo se ha ilustrado es el muy recomendable Technical Report de la ISA: 

ISA-TR84.00.03-2002 ^+uidance for Tesng of Process Sector Safety Instrumented Funcons (SIF) Implemented as or @ithin Safety Instrumented Systems (SIS)”.

441

Ž$+‰+/H/+Ž*$*+*

"'

Carlos Javier Gasco Lallave

SUMARIO:+ j     BL

Caso prácco

k< "- Matriz causa y efecto del SIS.

"-_$+*¡Ž/Ž/}k–H   'P '3''$#' $ & 3''$#' #' 3'  $  '6B)3 $  '  '& )EB8 J+''$$'J/ $ $ # #'  6(6K  '$'  3  'J  $ /) 3  $ $ ''  &$ 

465

466

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

 $'' #$' / ' ' '$$'/3  ' /   $'   '  L "-_"$+Hª:HHH¢Ž–*$H:–+k/k–:H}:Ž}–*kHžk/ŽŽª=H* *   &  $  3 & 'J  $ / $    TÅK '/  $''  3'$ $  $L/ED   $ # Q $$P /EEH/)EEBG  +3'#'  '  'ó para esta SIF la siguiente tabla de  $K  $  & &''     / )  '/    &'$ '/    P' $' L7 k< "-Datos de equipos disponibles para la Función Instrumentada de Seguridad. EQUIPO

 ƒ˜-1) -6

ƒ˜-1) -6

/

Cd

¹j 

Transmisor de nivel

0.40x10

0.70x10

0.7

0.4

600

PLC de seguridad

1.41x10-6

3.5x10-7

0.999

0.995

5.000

Conjunto válvulaactuador

2.60x10-6

1.30x10-6

0.0

0.0

3.500

"-_//–Ž*$}:Ž¢H¢++$H$$‰HŽ$H$H}:Ž$+Ž ƒ}‰$!„  K    >  #% G* # ÞKD:Å)KD: DLO™D]BORBL8X½KÅOCDO™DORL8B G* # ßÞKD:EEHLKD:E@LOE>+:AàBO?>AEBâ8X½ÞEEHOKD:E@LKE>+:ALO?>AEà8B  G* #sensores @E>B+:A½=D=?+:H =AEHB+:H  KZ>  ## G* # KK™LORL8B G* # KD: DLO™DORL8B G* #G = (XHODE:>LOKD:E==HLO?>AE8B >AAH+:A  K  [  !#% G* # ßÞKD:Å)KD: DLO™D]BORBâ8X½KÅOCDO™DORL8B ßÞKD:EDLODX+:AàB O?>AEBâ8X½KEDODX+:AO?>AEL8B

Caso prácco

G* #$P  XHEDH+:H½HA=@+:@ AE@@+:@  K   G* #total==AEHB+:H½>AAH+:A½AE@@+:@ >E?D+:@ ( 3(( D8G* #/3$ 7 (( D@DB3  6X)$ $  6B    HH "\$] Cálculo de la STR de los transmisores en arquitectura 1oo2D

(Os  O D ) x 2 para tecnología Tipo B.

STR 1oo 2 D

 ÞBOKKE@+:AL½KE@OE>+:ALLà DXA+:A :D Cálculo de la STRdel PLC en arquitectura 1oo1D

STR 1oo 1D

(O S  O D ) para tecnología tipo B, elemento simple.  ÞD@D+:A½KE==HL«XH+:>à D>A+:A :D

 \  [  ! >  #%

STR 1oo 2

(Os ) x 2 para tecnología tipo A.  KBA+:ALOB HB+:A :D

Cálculo de la STR Total 6R($$  DXA+:A½D>A+:A½HB+:A ?XB+:A :D + J7 6R($$  EE>B J EE>BÔEB'J $ & RR6 DX>B J +G¡*/4 &'P 'J  $ /3    '# D>@

467

468

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

‰j "-[P&ID del SIS.

N 3  ' 'J  $ 66/     '#'$  ' ' #'  ' /3  'J de detalle del SIS.

Caso prácco

"--$+*¡Ž$$kH$*+* G $'  'P '3''$#' )'J  $    ''$$  #' K ' $ ' '$ /   $' ' '  #'  ' L/   &'#'$7 











Base de diseño del SIS. $ 3''$#' / '$     'P '  3''$  #'  KL/ $   $ $$ ) $'  ' &  '$  'J  $ '#' /  /'$  ') & 66 Filosofía de operación del SIS.+    $   /  '   ''$$  #' / '$   'P '3''$#'  3/ '&   '   3&   &    3 3'   el SIS, su parada, en restablecimiento y en mantenimiento, indicando los tags   /3'/'$$/3'$'$  ción del SIS. P&ID. + $/ 3   '$    '$$ ' 3     ' '$$    #' / $   T  3' 3   &'$ K/ $ /$P L/

  'J  $ /   '/  #  '  K#'  DD/ DB/BX/$ L/) '$# '$ J  ' '$  &3' K%L +$ $/    $   ''$$  #' / $/   '&# ' HD  $3 $' $$' $ ' '' ' '  $ #'  $$  'K$   UinterlocksV ' '$$/ $ /)$P  $L Lista de instrumentos.Este documento, se complementa con el recuento de '$$)3' $3 66R   R '  '/ Q$ $ : / 4  6#' / $  Este documento, dependiendo de la etapa del desarrollo de la ingeniería se $    ' '$$/)P $/ &  de datos de los sistemas de control (en este caso, del SIS). Plano de implantación de equipos. En este documento, las disciplinas de $& / '') ' /' ' $/   &' '    3' '  K$ '  / $'' '/ ž$& L/   'P 'K  &&  so, cuarto de control de operación, centro de control de motores, subestación 4 $' / '$  # '$  'L

469

470

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...



















N  ' $ '/ '  #   $ /  '$$ '66+$ $)'$ $    $'$  '3'/ 3' &      '#' 4 $' K ' &4 $' : &   '$$ ) 3'  66L/ )      $''    ' ) mantenimiento del SIS. Lista de entradas y salidas. Estos, al ser listados, generan un recuento de  +$  )6 '  #    $'J K@:BE/B@ S */$ L/  '  '' '$G 6#' /)$ #3'$9  '$  &3'  Diagramas de lazo de control.  '' ' ' #    $$  $ ) $'  ' '$4 $' $$ ' /3 '#  $/$ / $  $  ) / $  '$   Hojas de datos para especicación, y especicaciones, de instrumentos y equipos del SIS.R   '   'P '3''$#' / & 'J/)' '$$/   '   Q  $) 'P ''$$)3' 66 ' '3   $ $ 

Q  $/' )$ $/   / 'P ' '$$)3'/   $' $   / '&' &#  G '$  &3'  *4$$'  /) '   '#' K$ P '#' ) 'P L/    3'' '3'3    '$  '$$   #' /   / '     ''' $$  K''$ 'P '/QL/  '''  '$$'  $   'J'$ / ''$  ' ' #'  '  K'P '66L Conguración de controladores de seguridad, listados de entradas/salidas de controladores, y listado de programación realizada (lógica escalera, a &3/ $ L/    /  $ &    #'   #  '   lenguaje seleccionado. Diagramas de conexionado eléctrico de cajas de y regleteros en las cabinas del sistema de seguridad^  /$  ''3 3'   Q   ')3' $$ Q /

   O' $)J /3' $$ / $ '$  &3'  Lista de repuestos de los elementos del SIS.Se describen las partes de repues$3  3'/$   '   on-off/$' /$') ' ' $ Q$ / $ /$'$ / $ #' /$ L Documentación del equipo suministrado por el vendedor, incluyendo especi-

Caso prácco

P '/3''$'$  '/)   $''$K 3  )  /$' '  #'  3'66/  / '&  ' ' $'     

 & $''$3'L

"-W+*kHH/+ /Ž+*+ŽH$Žž}:–¢H*$*+* N 3  $  '#' )  66/   $    '$  '/     '     '$  '  /  &'/    '$  ' O'$$Krevamping). G    ' /  3'  66/  '$       $   $ '/   $ & Q ' '' '#'  K ' /$& / ''/$ L    #  '    ' 3' /) #$& /   $$  $' G  # /3'$ & Q    O'$$/ lo cual, normalmente, el tiempo programado de la instalación, pruebas y puesta en   66/& ' '' $'  $  $   - $/  $ ' '$' $' T$'   '  $''$ ) 3' +$/ #   '$  '66/ 3  $ ) $4 ' S4  $DX/ '&$  & ''  K&' L/) $ / '   3'3  66

"-¨}:Ž/$++kŽ*$Ž}:H/+ žHk++kŽ G $' P  '66 '    'J$   66/'    'P KJ '$  'L/      ''$ '66/  3'  $  

'    3 $ / #   $ / '  $ &  66  # /) ' '$ $ &'4  '&'$ ''$/  ' $''$$'/  $'  ' ) ' ' $' '        ' '$$   #' K''' ' &3'$$/     ''/&3 ' 3' 3

&' /$ L*'#  /  ' ''$  '     '' K'     $ J/  'J conceptual del SIS, por ejemplo). ( $ &'43$Q  ' 3'$  de pruebas manuales (TI) es de un J+$'#'P 3'    #amadas  '  )$$'/ )3  6 '

471

472

SEGURIDAD FUNCIONAL EN INSTALACIONES DE PROCESO...

  3$'$   &      $  ': $'$   &      $  ': '$   &      $  ' '$'$'$$' P# '3'$ &  line se estudiaron en los C $?)D@/' &'$ /'3   $'  ' &'$ /'$ & ' $&    corte y baipases de mantenimiento en los transmisores. k< "-[Procedimiento pico para operación y mantenimiento del SIS. PASO #

ACCIÓN

CHECAR Ž©

1

Conjuntar toda la información requerida para las pruebas (información validada, y en úlma revisión), incluyendo permisos, sustución de accesorios, en caso de que aplique, etc.

#

2

Nocar a todo el personal operavo de la planta que se realizará una prueba al SIS, recibiendo conrmación de enterado por cada uno de los involucrados.

3

(Tomando en cuenta que la planta se encuentra fuera de operación) Realizar la prueba iniciando con la puesta en modo test del SIS (desde el controlador, mediante contraseña proporcionada por el asignado como responsable.

4

Mediante los bloqueos de válvulas aplicables, conectar el transmisor de nivel LZT-02A al equipo de pruebas, y vericar la señal obtenida en interfaz hombre máquina.

5

Vericar que el punto de disparo de LZT-02 A congurado en el PLC, mande acvar la secuencia denida en la matriz causaefecto (cierre de válvulas XZV-101A y XZV-101B).

6

Vericar que la desconexión eléctrica de la señal de LZT-02A (fallo segura), de acuerdo a la matriz causa-efecto, mande a cerrar de válvulas XZV-101A y XZV-101B.

7

Vericar que la pérdida de energía eléctrica de alimentación a válvulas (fallo segura), mande a cerrar las válvulas XZV-101A y XZV-101B).

8

Vericar que la pérdida de aire de instrumentos (fallo segura), mande a cerrar las válvulas XZV-101A y XZV-101B.

9

Vericar que el sistema solo puede volverse a rearmar, desde el SIS, mediante contraseña (reconocimiento de disparo del sistema, o disparo en falso en su caso).

10

Reper estos pasos para el otro transmisor de nivel del SIS (LZT02B).

Caso prácco

PASO #

ACCIÓN

11

(En caso de aplicar según diseño conceptual del SIS y recomendaciones de los fabricantes de los equipos). Remplazar solenoides de válvulas XZV-101A y XZV-101B y/o conjunto válvula solenoide, relevadores de seguridad, fuentes de alimentación de CD.

12

Vericar la correcta calidad del aire de instrumentos que llega a las válvulas XZV-101A y XZV-101B (presión, nivel de secado, remplazo de ltros en caso de aplicar).

13

Vericar el correcto voltaje de las fuentes de alimentación a solenoides de válvulas XZV-101A y XZV-101B.

14

Una vez que se ha concluido la prueba, retornar a su correcta posición, válvulas, venteos, drenes, y accesorios, del SIS.

15

Nocar a todo el personal involucrado, que la prueba ha concluido, recibiendo conrmación por cada uno de ellos.

16

Entregar el reporte de pruebas realizado, al personal aplicable (Diseñador del SIS, por ejemplo), y corroborar si con las pruebas, remplazo de accesorios, dentro del diseño conceptual, con los valores reajustados, se cumple con el factor de reducción de riesgo de la Función Instrumentada de Seguridad, en caso contrario, proponer nuevas estrategias, incluyendo el remplazo de partes mayores de la función instrumentada de seguridad.

CHECAR Ž©

473

ªŽ*H:+Ž$k¦:+Ž*žH/: +Ž*

G