Add to collection(s) Add to saved
  1. No category
Uploaded by Santiago Duque

Dia 2 - Siete Preguntas Clasicas completo

advertisement 
7 Preguntas Clásicas sobre Seguridad
Funcional de Procesos
PCS 7 Process Safety Group
Por: Luis Garcia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Answers for industry.
Su experto de hoy …
o Luis M. F. Garcia G.
o CFSE Certificado No 080415 004
o TÜV/SÜD Certificado No TP 10010106
o BE Met.& Mat. Science – Liverpool University, UK
o Ing. Mec. – Rosario - Argentina
o SI Inc. Safety System Senior Consultant Americas
o Especialista en Sistemas Instrumentados de Seguridad con mas de
25 años de experiencia
o Miembro Instructor ISA No 31999499
o Instructor de Seguridad Funcional de Procesos
o Varias Publicaciones sobre seguridad funcional en América,
Europa y Oceanía
o Chartered Engineer
o Miembro del CFSE Advisory Board
o Preside el comité de Patio de Tanques del grupo ISA S84 en USA
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Nos gustaría saber de Ud.
o Su Nombre, Compañía, Posición
o Disciplina y Experiencia
o ¿Que espera de este evento/taller/seminario?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Introducción
Un Sistema Instrumentado de Seguridad (SIS) es un sistema compuestos de Sensores, Procesadores
Lógicos y Elementos Finales de Control, y tiene la finalidad de llevar el proceso a una condición
segura de violarse ciertas predeterminadas condiciones.
SIS
BPCS
Industrial Ethernet
Profisafe
Profibus DP
Engineering Station
PS
Operator Station
ESD action
SV
PCV
PT1
PT2
Pressure
Trip Point
Alarm high
Pressure
High Pressure Alarm
Process Control
Normal Pressure
Low level
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
Luis Garcia / MP7
Handout 2
Introducción
Consideremos primero un Sistema Básico de Control de Proceso
Controlador
Válvula
TP
}
SBCP
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Introducción
Consideremos primero un Sistema Básico de Control de Proceso
Consideremos ahora una Función Instrumentada de Seguridad
SIF por sus siglas en Inglés (Safety Instrumented Function)
Procesador
SIF
{
Controlador
Válvula
TP
TP
}
SBCP
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Introducción
La misma está compuesta de tres elementos diferentes
• Procesador Lógico
• Sensores
• Elementos Finales de Control
}
SIL – Safety Integrity Level
Procesador
SIF
{
Controlador
Válvula
TP
TP
}
SBCP
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Introducción
Note también que cada SIF tiene 3 características especiales
Y que utilizamos dos tipos de estándares para diseñarlas
2 – Es durmiente
Procesador
1 – Hay separación (Independencia) del SBCP
3 – Fallas espurias paran la planta
TP
Estándares prescriptivos (¿Qué se debe hacer?)
Estándares de Rendimiento (¿Qué tan bien debe hacerse?)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Introducción
¡Simple! ¿Verdad?
Sin embargo todo profesional confronta encrucijadas
Estas son las 7 preguntas mas frecuentes en seguridad funcional de procesos:
1. ¿Es mejor tener redundancia para alcanzar seguridad y diagnostico para alcanzar
confiabilidad? ¿O al revés?
2. ¿Cómo debe de probarse el Procesador (PES) de un SIS?
3. ¿Es un sistema de Gas y Fuego un SIS?
4. ¿Cómo se deben Implementar un bypass operacional? ¿Y uno de mantenimiento?
¿Cuál es el riesgo?
5. ¿Cuanta seguridad debo implementar en un patio de tanques? ¿Cómo es el Ciclo de
Vida de Seguridad Funcional (SVSF)?
6. ¿Cuánto afecta la Ruta 2H de nueva IEC 61508 a la IEC 61511?
7. ¿Es un BMS un SIS? ¿Cómo Implemento su CVSF?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 9
Luis Garcia / MP7
Respuestas
¡Simple! ¿Verdad?
Sin embargo todo profesional confronta encrucijadas
Cada botón lo llevará a la explicación relacionada
Estas son las 7 preguntas mas frecuentes en seguridad funcional de procesos:
30 minutos
25 minutos
45 minutos
35 minutos
20 minutos
30 minutos
35 minutos
1. ¿Es mejor tener redundancia para alcanzar seguridad y diagnostico para alcanzar
confiabilidad? ¿O al revés?
2. ¿Cómo debe de probarse el Procesador (PES) de un SIS?
3. ¿Es un sistema de Gas y Fuego un SIS?
4. ¿Cómo se deben Implementar un bypass operacional? ¿Y uno de mantenimiento?
¿Cuál es el riesgo?
5. ¿Cuanta seguridad debo implementar en un patio de tanques? ¿Cómo es el Ciclo de
Vida de Seguridad Funcional (SVSF)?
6. ¿Cuánto afecta la Ruta 2H de nueva IEC 61508 a la IEC 61511?
7. ¿Es un BMS un SIS? ¿Cómo Implemento su CVSF?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
Luis Garcia / MP7
Handout 5
Una historia de dos Métodos
Evolución de las Arquitecturas en Sistemas
Instrumentados de Seguridad
Por Luis Garcia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Answers for industry.
Redundancia en votación Vs Diagnostico Protector
Hay dos caminos para reducir las probabilidades de fallas peligrosas en los componentes de una SIF;
1. Utilizando recursos redundantes que votan sobre el valor de las salidas
2. Utilizando inspecciones frecuentes y automáticas (diagnostico) que reprime una salida si detecta una
falla peligrosa (protección de la salida).
Nosotros discutiremos ambas filosofías
Consideremos por ejemplo el Procesador Lógico.
Interesante …
Des-energizar-ParaDisparar, DEPD eh?
Procesador
TP
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Redundancia en votación Vs Diagnostico Protector
Consideremos las arquitecturas tradicionales
Las diferentes arquitecturas afectaran las propiedades del procesador, tales como …
Su disponibilidad
Las probabilidades de fallas espurias (PFS)
Las Probabilidades de fallas en demanda (PFD)
Las arquitecturas tradicionales son:
1oo1 ( One out of One )
1oo2 ( One out of Two )
2oo2 ( Two out of Two )
2oo3 ( Two out of Three
oo significa de
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Consideremos un contacto en arquitectura simple (1oo1):
es entonces 1/100 = 0.01 (Tasa de Falla)
d es 0.2 x 0.01 = 0.002
Si consideramos comportamiento linear para PFD < 0.1,
entonces en un año las PFD estarán dadas por:
PFD (1 Año) =
A
d x T = 0.002
Ahora bien, s es 0.01-0.002 = 0.008
PFS será entonces:
PFS (1 Año) =
s x T = 0.008
La disponibilidad estará dada por:
1 - (0.002) - (0.008) = 0.990
Datos del Fabricante:
MTTF: 100 Años
80% falla abierto - Relevador
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
Luis Garcia / MP7
Handout 2
Redundancia en votación Vs Diagnostico Protector
Consideremos ahora dos contactos idénticos en arreglo de votación 1oo2
PFD (1 Año) estarán dadas por:
{( d x T) x ( d x T)}, 0.000004
Si despreciamos los efectos de segundo orden (( s x T)2)
PFS (1 Año) estará dada por:
A
2 x ( s x T) , 0.016
B
El valor de la disponibilidad será:
1 - (0.016) - (0.000004) ~ 0.983
Nota : El valor de PFD ha mejorado al disminuir. Sin embargo la disponibilidad ha empeorado al
disminuir también. Esto es por el aumento de las PFS.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Consideremos ahora estos contactos en arquitectura 2oo2
Otra vez, si descartamos los efectos de segundo orden:
PFD (1 Año) estará dada por:
2 x ( d x T), 0.004
PFS (1 Año) estará dada por:
{( s x T) x ( s x T)}, 0.000064
A
B
El valor de la disponibilidad será:
1 - (0.004) - (0.000064) = 0.995
Nota : El valor de las PFD ha incrementado, y también la disponibilidad
gracias a las PFS. Esto se debe a ese 80% de falla segura.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Redundancia en votación Vs Diagnostico Protector
Consideremos ahora un arreglo triplicado de doble contactos – 2oo3
Ignorando causa común y efectos de segundo orden, una
aproximación en un año sería:
PDF (1 Año) ~ 3 ( d x T)2 ~ 0.000012
Similarmente:
PFS (1 Año) ~ 3 (
s x T)2 ~0.000192
La disponibilidad quedaría:
1 - (0.000012) - (0.000192) = 0.999
A
A
B
B
C
C
Nota : El valor de PFD ha empeorado pero la disponibilidad ha mejorado
significativamente.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Arquitectura
Disponibilidad
PFD
PFS
1/PFD
500
1oo1
0.990%
0.002 %
0.008 %
1oo2
0. 983%
0.000004 %
0.016 %
2oo2
0.995 x
%3
0.004 %
0.000064 %
250,000
250
x3
2oo3
0.999 %
0.000012 %
0.000192 %
83,333
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Redundancia en votación Vs Diagnostico Protector
DO
DI
DO
AI
AI
Ejemplo de SIL 3 SIF:
Tres Transmisores votando 2oo3. PDT100A, PDT100B y PDT100C.
El disparo debe ocurrir al alcanzar 85% de la escala.
Se necesita hacerle mantenimiento al Transmisor PDT100A, lo cual
envuelve forzar desde el campo señales (100% de la escala)
Seguridad Alcanzada con Diagnóstico
DO
DO
DI
AI
AI
Confiabilidad con Redundancia
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
2oo3 PT
Page 9
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Seguridad alcanzada con Redundancia
DO
DO
DI
AI
AI
Ejemplo de SIL 3 SIF:
Tres Transmisores votando 2oo3. PDT100A, PDT100B y PDT100C.
El disparo debe ocurrir al alcanzar 85% de la escala.
Se necesita hacerle mantenimiento al Transmisor PDT100A, lo cual
envuelve forzar desde el campo señales (100% de la escala)
DO
DO
DI
AI
AI
Confiabilidad con Diagnóstico
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
2oo3 PT
Luis Garcia / MP7
Handout 5
Redundancia en votación Vs Diagnostico Protector
Ejemplo de SIL 3 SIF:
Tres Opciones:
Colocar PDT100A en “Bypass”
Forzar una lectura por debajo de 85% en PDT100A
Forzar una lectura por encima de 85% en PDT100A
¿Cual elegiría?
DO
DI
DO
AI
AI
1.
2.
3.
DO
DO
DI
AI
AI
Reliability Vs. Safety Reliability
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
2oo3 PT
Page 11
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
A
B
B
C
C
DO
A
DO
DO
DO
DI
DI
AI
AI
AI
AI
Ejemplo de SIL 3 SIF:
Para responder debemos analizar la lógica de votación 2 de 3 en el
procesador lógico o PES.
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 12
2oo3 PT
Luis Garcia / MP7
Handout 6
Redundancia en votación Vs Diagnostico Protector
DO
A – Queda una arquitectura 2oo2
B – Muy Confiable pero muy insegura. Si
B o C se atascan, no se puede parar la
planta.
A
A
B
B
C
C
DO
DI
AI
DO
DO
DI
AI
AI
AI
Ejemplo de SIL 3 SIF:
1 - Colocar PDT100A en “Bypass” (Ignorar Valores de A) – Recuerde: Desenergizar para disparar.
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
2oo3 PT
Page 13
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Ejemplo de SIL 3 SIF:
2 - Forzar una lectura por debajo de 85% en PDT100A – Recuerde:
Des-energizar para disparar.
DO
B – Muy Confiable pero muy insegura. Si
B o C se atascan, no se puede parar la
planta.
A
A
B
B
C
C
DO
DO
DO
DI
DI
AI
AI
AI
AI
A – Queda una arquitectura 2oo2
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 14
2oo3 PT
Luis Garcia / MP7
Handout 7
Redundancia en votación Vs Diagnostico Protector
Ejemplo de SIL 3 SIF:
3 - Forzar una lectura por encima de 85% en PDT100A – Recuerde:
Des-energizar para disparar.
A
B
B
C
C
DO
A
DO
DI
AI
DO
DO
DI
AI
AI
AI
A – Queda una arquitectura 1oo2
B – Muy segura pero poco confiable. Si B
o C se disparan, paran la planta.
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
2oo3 PT
Page 15
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Volviendo a la pregunta del Ejemplo:
1.
Tres Opciones:
1. Colocar PDT100A en “Bypass”
2. Forzar una lectura por debajo de 85% en PDT100A
3. Forzar una lectura por encima de 85% en PDT100A
DO
DO
DI
AI
AI
¿Cual elegiría?
DO
DO
DI
AI
AI
- 1 o 2 Si no importa la seguridad
- 3 Si la planta debe de estar segura en todo momento
PDT100B
PDT100A
AI
PDT100C
1oo2 Valves
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 16
2oo3 PT
Luis Garcia / MP7
Handout 8
Redundancia en votación Vs Diagnostico Protector
La gran “D”
Lo que realmente se buscaba era:
Mejor disponibilidad que un 2oo3, mejor nivel de seguridad que
un 1oo2, pero con la capacidad de tolerar fallas sin comprometer
el nivel de seguridad
Esto fue posible gracias al diagnóstico …
… Siempre y cuando el diagnóstico se
utilice para proteger las salidas ...
(evitar salidas inseguras)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 17
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Inyección de falla
Peligrosa
SYSTEMA
Se convierte
PFDN
PFDD
PFS
Diagnóstico
PFDU
Disponibilidad
Nuevo concepto desarrollado en los ‘90
DU
=
D
(1 – C)
PFD = PFDD + PFDU + PFDN
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 18
Luis Garcia / MP7
Handout 9
Redundancia en votación Vs Diagnostico Protector
CPU 1
CPU 2
CPU 3
Procesador
Lógico
TP
TP
TP
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 19
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Procesador
Lógico
TP
TP
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 20
Luis Garcia / MP7
Handout 10
Redundancia en votación Vs Diagnostico Protector
Tolerante a múltiples fallas
X Arquitectura Fieldbus permite tolerar varias fallas sin interrumpir servicio ni
comprometer Nivel Integral de Seguridad
X Redundancia de E/S independiente de Redundancia en la CPU
Todos los componentes clasificados como SIL 3
DO
DI
DO
AI
AI
X Sin degradación
X Seguridad no depende de Redundancia
DO
DO
DI
AI
AI
AI
Flexible Modular Redundancy ™
Mantiene SIL y No para la Planta
1oo2
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
2oo3
Page 21
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Procesador Lógico (PES - Programmable Electronic System)
70’s & 80’s
Diagnóstico detecta discrepancias
A
Ahora
Redundancia aumenta Confiabilidad
B
1oo2
SISTEMA
Diagnósticos
A
B
B
C
Diagnóstico
SISTEMA
2oo3
A
C
Diagnósticos
Diagnóstico
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 22
Luis Garcia / MP7
Handout 11
Redundancia en votación Vs Diagnostico Protector
Controlador
SIEMENS
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 23
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Controlador Redundante
Controlador
SIEMENS
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 24
Luis Garcia / MP7
Handout 12
Redundancia en votación Vs Diagnostico Protector
Controlador
Controlador Redundante
SIEMENS
I/Os
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 25
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Controlador
Controlador Redundante
SIEMENS
I/Os
I/Os Redundante
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 26
Luis Garcia / MP7
Handout 13
Redundancia en votación Vs Diagnostico Protector
SIEMENS
SIEMENS
Controlador
Controlador Redundante
Terminales
I/Os
I/Os Redundante
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 27
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Gracias a las comunicaciones cruzadas de ProfiSafe DP
Estación de ingeniería
s
s
Terminales
Terminales
s
Controlador
Estación de operador
s
s
s
Controlador
Módulos E/S
Módulos E/S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 28
Luis Garcia / MP7
Handout 14
Redundancia en votación Vs Diagnostico Protector
Estación de ingeniería
s
s
s
s
Estación de Operador
s
s
Controlador
Controlador
Módulos E/S
Terminales
Después de 1
accidente el sistema
continua trabajando
con el mismo
SIL
Terminales
Módulos E/S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 29
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
Estación de ingeniería
s
s
s
s
Estación de Operador
s
Controlador
Controlador
Módulos E/S
Después de 2Terminales
accidentes el sistema
continua trabajando
con el mismo
SIL
Terminales
s
Módulos E/S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 30
Luis Garcia / MP7
Handout 15
Redundancia en votación Vs Diagnostico Protector
Estación de ingeniería
s
s
s
s
Estación de Operador
s
Controlador
Controlador
Módulos E/S
Después de 3Terminales
accidentes el sistema
continua trabajando
con el mismo
SIL
Terminales
s
Módulos E/S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 31
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
¿Debe preocuparle las fallas espurias?
Después de todo los disparos en falso son evidentes, ¿No …?
… Confiabilidad: Probabilidad de funcionar correctamente durante un tiempo especifico …
Confiabilidad se alcanza:
1. Evitando causa común
1.
Separación física
2.
Operación asincrónica
3.
Resiliencia (a la causa común)
2. Con tolerancia a fallas
3. Con diagnósticos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 32
Luis Garcia / MP7
Handout 16
Redundancia en votación Vs Diagnostico Protector
Con sistemas de votación, solo si el diagnóstico detecta la falla se puede mantener el sistema
funcionando … pero en forma degradada
¡SI!
¡NO!
Uno de ellos
debe estar
enfermo …
Diagnósticos Vs. Redundancia
Nota;
Si el diagnostico no encuentra la falla en caso de empate, el sistema se iría a fallo seguro (paro de planta)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 33
Luis Garcia / MP7
Redundancia en votación Vs Diagnostico Protector
En conclusion. Dos filosofias diferentes
70’s:
Seguridad alcanzada con
Redundancia
Confiabilidad alcanzada con
Diagnósticos
90’s y más allá:
Seguridad alcanzada con Diagnóstico
Confiabilidad alcanzada con
Redundancia
SIEMENS
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 34
Luis Garcia / MP7
Handout 17
¡Ud. No puede probar el PES de su SIS!
Mitos y tabúes sobre pruebas funcionales a su SIS
Por Luis Garcia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Answers for industry.
Introducción
La gente esta realmente confundida sobre la forma de probar el procesador lógico de un SIS
- ¿Con que frecuencia se necesita
revisar esto?
- ¿Cómo hago para revisar esta cosa? ¿Por
donde le entro?
- ¿Cuánto crédito puedo reclamar por
hacer pruebas funcionales?
Para responder uno debe entender en primer termino:
¿Para que se realizan pruebas funcionales de inspección en primer termino?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Rendimiento de un sistema durmiente
• Durmiente no significa que no hace nada!
• Solo actúa si es necesario – Como los guardias del palacio de Buckingham. Parecen maniquies
inmoviles. ¿Como saber estan vivos?
SIS
SBCP
TP
Sistema Durmiente
TP
• Usamos cálculos probabilísticos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Rendimiento de un sistema durmiente
Disponibilidad: Probabilidad de estar sano y disponible
PFD: Probabilidad de fallar en demanda o peligrosamente
No permite que el sistema proteja
PFS: Probabilidad de fallar en forma segura
Disparos en falso
ISO/IEC 3282 parte 14.
Disponibilidad:
PFD
PFS
Disponibilidad
La habilidad de una unidad funcional de
mantenerse en un estado donde le sea
posible realizar su función bajo dadas
condiciones en un intervalo de tiempo,
asumiendo que todos los recursos
externos requeridos son provistos.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
Luis Garcia / MP7
Handout 2
Rendimiento de un sistema durmiente
El problema es que todos estos parámetros cambian con el tiempo
No es un problema con disparos en falso
Disponibilidad
P(t)
PFS
PFD
Gran problema con fallas ocultas …
time
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Rendimiento de un sistema durmiente
1.
Tenemos por tanto:
1.
2.
Probabilidades de fallas peligrosas ocultas (PFD), las cuales aumentan con el tiempo y que
solo pueden ser detectadas con inspecciones.
Necesitamos:
1.
Crear niveles discretos de rendimiento basados en dichas probabilidades
Probabilidad de falla en demanda promedio
Ti
PFDPro = 1/T x 0 PFD(t) t
Donde : Ti es el tiempo entre inspecciones
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Mejor rendimiento en seguridad funcional
Rendimiento de un sistema durmiente
Safety Integrity Levels (Criterio Cuantitativo de Cumplimiento)
SIL
Probabilidad de Falla en Demanda
promedio (PFDPro)
(En modo demanda)
Factor de Reducción de Riesgo
(FRR)
SIL 4
0.0001 - 0.00001
10000 a 100000
SIL 3
0.001 - 0.0001
1000 a 10000
SIL 2
0.01 - 0.001
100 a 1000
SIL 1
0.1 - 0.01
10 a 100
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Rendimiento de un sistema durmiente ( Ejemplo;
IEC61508 “Modo Demanda”
IEC61508 “Modo Demanda”
PFDPRO: 0.1 – 0.01
SIL 1
PFDPRO : 0.01 – 0.001
SIL 2
PFDPRO : 0.001 – 0.0001
SIL 3
PFDPRO : 0.0001 – 0.00001
SIL 4
Simple PFD
PRO
… Para PFDPRO < 0.1
= ½
t)
e- t ~ t
PFD (t)
… Tasa de falla
constante
Alto SIL es
exponencialmente
mas difícil de
alcanzar
SIL 1 – RRF: 10 a 100
SIL 2 – RRF: 100 a 1000
Tiempo entre Inspecciones
Tiempo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Entendiendo las restricciones de la IEC61508
Si el diagnostico protege las salidas o mantiene la confiabilidad
SYSTEMA
Se convierte
PFDN
PFDD
PFS
Diagnóstico
PFDU
Disponibilidad
PFS + PFDD + PFDU + PFDN + Disponibilidad = 1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 9
Luis Garcia / MP7
Entendiendo las restricciones de la IEC61508
Type A
Type B
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
Luis Garcia / MP7
Handout 5
Entendiendo las restricciones de la IEC61508
… Para evitar abusos, existen las tablas de limitaciones arquitecturales de la IEC 61508. Estas son como
redes de seguridad que protegen el diseño
Hardware Fault Tolerance
Safe Failure Fraction
(SFF)
0
1
2
Type A
Type B
Type A
Type B
Type A
< 60 %
SIL 1
Not Allowed
SIL 2
SIL 1
SIL 3
Type B
SIL 2
60 % - 90 %
SIL 2
SIL 1
SIL 3
SIL 2
SIL 4
SIL 3
90 % - 99 %
SIL 3
SIL 2
SIL 4
SIL 3
SIL 4
SIL 4
> 99 %
SIL 3
SIL 3
SIL 4
SIL 4
SIL 4
SIL 4
La Tolerancia a fallas de hardware (o HFT por sus siglas en
inglés) están dadas en una arquitectura X de N (XooN) por:
Y la Fracción falla segura (SFF por sus siglas en Ingles) esta dada
por:
(
HFT = N - X
S
+
DD)
SFF =
=
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 11
Luis Garcia / MP7
Esto se entiende al calcular las PFD promedio
Ti
PFDPro = 1/T x 0
PFD(t) dt
Para una arquitectura simple (1oo1), PFDPro está dada por:
Ti
PFDPro = 1/T x 0
(
D T) dt = ½
Ti
1
Donde:
D es la tasa de falla total en modo demanda
Ti es el tiempo entre inspecciones
Desafortunadamente la ecuación 1 se complica dado que las inspecciones son perfectas
Veamos el ejemplo clásico de Pruebas parciales en una válvula
(Equipo tipo A)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 12
Luis Garcia / MP7
Handout 6
Calculando las PFDPro de un equipo A
En una válvula (Tipo A), todos los modos de falla son bien conocidos, pero no detectables …
Modo de Falla
Efecto
Tamaño del Actuador es inapropiado
para operar en condición de
Emergencia
Válvula no Cierra (o abre)
Empacaduras se dañan
Válvula no Cierra (o abre)
Reporta movimiento limitado
Empacaduras muy apretadas
Válvula se pone lenta para cerrar o para
abrir.
Velocidad de actuación es reportada como un
evento
Perdida del Aire de Instrumentación
Válvula se pone lenta para cerrar o para
abrir.
Velocidad de actuación es reportada como un
evento
Bloqueo de la línea de aire
Válvula no cierra ni abre – No se mueve
Reporta movimiento limitado
Vástago se engripa.
Válvula no cierra ni abre – No se mueve
Reporta movimiento limitado
Válvula presenta fugas
No se prueba – Necesario prueba 100% con
medición de fugas.
Asiento se daña o deforma
Con PST
Manual
Válvula presenta fugas
Asiento se ensucia
Asiento se endurece por residuos o
polimerización - Cristalización
Automático
No se prueba – Necesario prueba 100% con
medición de fugas.
No se prueba – Necesario prueba 100% con
medición de fugas.
Válvula presenta fugas
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
No se prueba
Nunca detectado
Page 13
Luis Garcia / MP7
Calculando las PFDPro de un equipo A
Veamos como es el comportamiento de este BIEN CONOCIDO elemento:
… Una Válvula …
IEC61511
PFD(t)
No A Escala
Comportamiento de las PFD
Con PST Automático
Con Inspección Manual
SIL 1
PFDPro
SIL 2
}
f(
)
DD
SIL 3
f(
DN)
Probabilidad Residual
Probabilidad Residual
f(
Intervalo Pruebas Automáticas
DU)
Tiempo
Intervalos de Pruebas Manuales
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 14
Luis Garcia / MP7
Handout 7
Calculando las PFDPro de un equipo A
Arquitectura 1oo1:
(Siempre que MTTF >> Ti):
Riesgo de hacer pruebas “En Línea”
PFD1oo1AVG = [
DD
x (MTTR + TIA/2)] + [
DU
x TIM/2] + [
DN
x Total Life/2] + [TD/TIM]
2
Pruebas Manuales
Pruebas Automáticas
(En Laboratorio)
Imposible Detectar
(PST)
Esto incrementa el daño que hace Causa Común
Sistemas Redundantes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 15
Luis Garcia / MP7
Calculando las PFDPro de un equipo B
Los factores de covertura son calculados
con modelaje FMEA o FMEDA
La técnica envuelve la inyección de fallas en
todos los modos conocidos y evaluar el
comportamiento del conjunto.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 16
Luis Garcia / MP7
Handout 8
Calculando las PFDPro de un equipo B - PES
? ?
¿Probar manualmente un PES?
¡Los sistemas son probados para disminuir las PFDPro !
A medida que el sistema se vuelve mas complejo …
DU
¿Crees que
podamos
arreglarlo?
DN
DU se convierte en
DN afectando el sistema
durante toda su vida útil, haciendo causa común
mas relevante.
Pues
hombre ..
¡Claro!
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 17
Luis Garcia / MP7
Calculando las PFDPro de un equipo B - PES
Los modos de falla en un PES no están tan bien definidos (TYPE B)
Hablando números …
Es una combinación de hardware, software y firmware
Las ecuaciones cambian al modificarse:
De
2oo3
2
2
2
2
2
2
PFD
AVG = [6 x ( DD) x (MTTR + T IA/2) ] + [( DU) x (TIM) ] + [( DN) x Total Life) ] + [6 x T D x
MTTR / T IA) + (
DU x
DU
x (((TiA/2) +
x TIA/2]
a
PFD2oo3AVG = [6 x (
DD)
2
x (MTTR + TIA/2)2] + [(
DN)
2
x Total Life)2] + [6 x TD x
DN
+(
DN
x
x Total Life/2]
La combinación de causa común y fallas nunca detectadas domina las ecuaciones en sistemas
redundantes, a menos que el factor de cobertura sea extremadamente alto.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 18
Luis Garcia / MP7
Handout 9
Calculando las PFDPro de un equipo B - PES
El diagnostico automático, con una alta cobertura permite modificar la curva disminuyendo PFDPro. La cobertura
manual no tiene ningún valor: Un PES …
IEC61511
PFD(t)
No A Escala
DU
=
DN
SIL 1
PFDPro
SIL 2
SIL 3
Hora de enviar el sistema al fabricante para re-validar; o re-evaluar contribución del PES
en cada SIF o de substituir el sistema
Tiempo
Comportamiento de las PFD sin diagnostico automático
Con diagnostico Automático
Con Inspecciones Manuales – Sin Cambios significantes
… de otro modo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 19
Luis Garcia / MP7
Calculando las PFDPro de un equipo B - PES
En su Función Instrumentada de seguridad …
U Can’t Touch This!
¡Ud No PUEDE revisar esto!
PES
SBCP
TP
TP
Ud. Puede probar esto …
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 20
Luis Garcia / MP7
Handout 10
Sistemas de Gas y Fuego Usando Simatic
Por Luis Garcia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Answers for industry.
Diferencias entre un SIS y un SG&F
Sistema Instrumentado de Seguridad
Sistema de Gas y Fuego
- SIS -
- SG&F -
Un SIS es una Capa de protección
SIS
SBCP
TP
TP
• Luego
Consideremos
un Sistema
primero
de Paradas
un Sistema
de Emergencia
Básico de Control de proceso
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Diferencias entre un SIS y un SG&F
Sistema Instrumentado de Seguridad
Sistema de Gas y Fuego
- SIS -
- SG&F -
Un SIS es una Capa de protección
Un SG&F es una Capa de mitigación
SIS
M
SBCP
S
H
FD
GD
SG&F
TP
TP
H
B
H
S
M
• Consideremos ahora que hace un Sistema de Gas y Fuego
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Diferencias entre un SIS y un SG&F
Sistema Instrumentado de Seguridad
Sistema de Gas y Fuego
- SIS -
- SG&F ¿Esto que Implica...?
Un SIS es una Capa de protección
Un SG&F es una Capa de mitigación
SIS
M
SBCP
S
H
FD
GD
SG&F
TP
TP
H
B
H
S
M
1.
Tiempo de reacción en ms. (Generalmente)
1.
2.
Se evita intervención Humana a menos que
sea medible su desempeño
Tiempo de reacción en segundos. (incluso
minutos)
2.
Se fomenta intervención Humana.
3.
SIL de la FIS es calculable basado en
Hardware y Software
3.
SIL del Sistema NO es calculable basado
en hardware y Software
4.
No necesita energía para actuar
4.
Necesita energía para actuar
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
Luis Garcia / MP7
Handout 2
Diferencias entre un SIS y un SG&F
Sistema Instrumentado de Seguridad
Sistema de Gas y Fuego
- SIS -
- SG&F -
Un SIS es una Capa de protección
Un SG&F es una Capa de mitigación
SIS
M
SBCP
S
H
FD
GD
SG&F
TP
TP
H
Sistema Durmiente
Sistema Durmiente
Separación
Separación
Lógica Inversa
Lógica Directa
Confiabilidad se alcanza con redundancia
B
H
S
M
Confiabilidad puede no alcanzarse con
redundancia
¿Qué otras diferencias o similitudes existen...?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Protección vs. Mitigación
A
B Capa de Mitigación
B
E Capas de Protección
Frecuencia
Baja
Improbable
Moderado
Severo
Bajo
Ocasional
Alto
Alto
Moderado
Moderado
Alta
Probable
Alto
Moderado
Frecuente
Alto
Alto
Moderado
A
Serio
Moderado
Bajo
Moderado
Mitigación
Moderado
Alto
Moderado
Moderado
C
Alto
B
Menor
Bajo
Menor
Consecuencia
Extenso
Catastrófico
Moderada
Remota
E
Moderado
D
Protección: Disminución de probabilidades
Despreciable
Bajo
Bajo
Bajo
Bajo
Moderado
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Características de una Capa Mitigante
LOPA
El Ciclo de vida de la Seguridad funcional según la IEC 61511 o ANSI/ISA 84.00.01 – 2004, se resume
en la ecuación:
Riesgo Tolerable (ƒ)
Riesgo Inherente (f) x PFD todas las capas
Pero, para que una capa sea acreditada debe ser:
OK. Especifica (estar bien definida)
OK. Independiente (de otras capas)
X Debe de poderse depender de su accionamiento
X Debe de poderse auditar
¿Cuales de estas características son atribuibles a una capa
Mitigante como Gas y Fuego?
La 1 y La 2
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Características de una Capa Mitigante – El evento ya ha ocurrido
Ejemplo:
GD
FD
De haber una fuga de
Gas, el sistema
pudiera detectarla y
alarmar
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Características de una Capa Mitigante – El evento ya ha ocurrido
Ejemplo:
FD
GD
De haber una fuego, El
sistema pudiera
reaccionar
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 9
Luis Garcia / MP7
Características de una Capa Mitigante – El evento ya ha ocurrido
Ejemplo:
FD
GD
Pero pudiera
también fallar
aun estando en
operativo
1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
Luis Garcia / MP7
Handout 5
Características de una Capa Mitigante – El evento ya ha ocurrido
Ejemplo:
FD
GD
Modelaje de dispersión de gas
Tanto para
extinguir como
alarmar
1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 11
Luis Garcia / MP7
Características de una Capa Mitigante – El evento ya ha ocurrido
De haber una fuga …
… puede haber
muertos …
… y/o
incapacitados
GD
FD
Incluso la supresión no es garantía de resultado:
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 12
Luis Garcia / MP7
Handout 6
Características de una Capa Mitigante – El evento ya ha ocurrido
Variaciones como
“presión atmosférica”
Cambian las
consecuencias
FD
GD
Incluso la supresión no es garantía de resultado:
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 13
Luis Garcia / MP7
Características de una Capa Mitigante
LOPA
El Ciclo de vida de la Seguridad funcional según la IEC 61511 o ANSI/ISA 84.00.01 –
2004, se resume en la ecuación:
Riesgo Tolerable (ƒ)
Riesgo Inherente (f) x PFD todas las capas
Pero, para que una capa sea acreditada debe ser:
OK. Especifica (estar bien definida)
OK. Independiente (de otras capas)
X Debe de poderse depender de su accionamiento
X Debe de poderse auditar
¿Cuales de estas características son atribuibles a una capa
Mitigante como Gas y Fuego?
La 1 y La 2
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 14
Luis Garcia / MP7
Handout 7
Características de una Capa Mitigante
… Pero …
Sistema Instrumentado de Seguridad
Sistema de Gas y Fuego
Lógica Inversa
Lógica Directa
Confiabilidad se alcanza con redundancia
Confiabilidad puede no alcanzarse con
redundancia
¿Como?
Seguridad
2oo2
1oo2
2oo3
2oo3
1oo1
1oo1
Afectado por
Geografía
y Tamaño del
Siniestro
1002
2002
Disponibilidad
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 15
Luis Garcia / MP7
Características de una Capa Mitigante
Ejemplo: Planta de Gas Clorhídrico.
Dos cadenas de sensores de gas: De seis unidades …
… y de cuatro unidades
De haber fugas los extractores actúan
1oo10 – 2oo10 – 3oo10 …………………..8oo10 – 9oo10 – 10oo10
¿Que lógica de disparo utilizaría .. Para fugas pequeñas?
¿y .. Para fugas grandes?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 16
Luis Garcia / MP7
Handout 8
Características de una Capa Mitigante
Ejemplo: Planta de Gas Clorhídrico.
…Consideremos primero el radio de efectividad de los sensores al 50%
... Para fugas pequeñas …
Seguro
Inseguro
1oo10 – 2oo10 – 3oo10 …………………..8oo10 – 9oo10 – 10oo10
Poco confiable
Intervención Humana
Muy confiable
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 17
Luis Garcia / MP7
Características de una Capa Mitigante
Ejemplo: Planta de Gas Clorhídrico.
…Consideremos primero el radio de efectividad de los sensores al 50%
... Para fugas Grandes …
Seguro
1oo10 – 2oo10 – 3oo10 …………………..8oo10 – 9oo10 – 10oo10
Poco confiable
Intervención Humana
Muy confiable
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 18
Luis Garcia / MP7
Handout 9
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Evaluar la efectividad de un SG&F cuantitativamente es una tarea difícil y
requiere análisis de riesgo avanzado por tres razones:
1 – Los peligros son mas complejos de definir.
2 – Minimiza los efectos de eventos que han ocurrido
3 – Efectividad de los equipos de campo 60%
(El HSE de UK encontró efectividad de detección en el orden del 60% en un
estudio de 8 años)
Riesgo Tolerable (ƒ)
CWA x FSM x PFD todas las capas
Donde:
CWA es la Consecuencia Promedio Ponderada (Weighed Average)
Y FSM es la frecuencia anual
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 19
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Ejemplo: (Paul Gruhn’s 2006 ISA White Paper: SIL Ratings for F&GS Hardware)
1. Múltiple de separación con cinco válvulas, diez bridas y treinta metros de
tuberías.
2. Históricos muestran probabilidades de fugas (frecuencias) para diferentes
defectos:
1. Pinchadura equivalente a orificio de 1” Dia., el 94% de los casos con
frecuencia de 2.09 x 10-2
2. Pinchadura equivalente a orificio de 6” Dia., el 5% de los casos con
frecuencia de 1.5 x 10-3
3. Rotura total del ducto el 1% de los casos con frecuencia de 3.1 x 10-4
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 20
Luis Garcia / MP7
Handout 10
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Ejemplo: (Paul Gruhn’s 2006 ISA White Paper: SIL Ratings for F&GS Hardware)
1. Por otra parte las consecuencias no mitigadas han sido estimadas por el
equipo de análisis de riesgo como ajustadas a las siguientes categorías:
1. Pinchadura equivalente a orificio de 1” Dia., cae en categoría 100 ( y como
1 mitigadas)
2. Pinchadura equivalente a orificio de 6” Dia., cae en categoría 1.000 (y
como 10 mitigadas)
3. Rotura total del ducto cae en categoría 10.000 (y como 100 mitigadas)
1 – Sin heridos, Primeros Auxilios
10 – Heridos
Categorías
100 – incapacitados
1.000 – Muertos
10.000 – Múltiples muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 21
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Entonces:
Las consecuencias promedio ponderadas CWA están dadas por:
CWA = 0.94 x 100 + 0.05 x 1.000 + 0.01 x 10.000 = 244
Y la Frecuencia anual sin mitigar:
FSM = 2.9 x 10-2 + 1.5 x 10-3 + 3.1 x 10-4 = 3.08 x 10-2
Nuestra ecuación nos queda:
Riesgo Tolerable (ƒ)
244 x 3.08 x 10-2 x PFD todas las capas
¿ Y … Cual es el riesgo tolerable …?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 22
Luis Garcia / MP7
Handout 11
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Dado que el evento indeseable ha ocurrido, el riesgo aceptable depende del resultado final
de siniestro. Por tanto, generalmente se utiliza matrices de riesgo
Consecuencia
Categorías de Frecuencia - Años
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
Donde:
Recuerde …
A. Diseño aceptable – No requiere
cambios
Categorias de Consecuencias
1 - Sin Heridos - Primeros Auxilios
B. Considérese otras capas adicionales
10 - Heridos
C. Requiere Capas adicionales
100 - Incapacitados
D. Diseño inaceptable
1.000 - Con Muertes
10.000 - Con Multiples Muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 23
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Dado que el evento indeseable ha ocurrido, el riesgo aceptable depende del resultado final
de siniestro. Por tanto, generalmente se utiliza matrices de riesgo
32 Años
3.08 x 10-2
Consecuencia
Categorías de Frecuencia - Años
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
C
B
C
C
D
C
C
D
D
1.000
10.000
244
B
B
Donde:
A. Diseño aceptable – No requiere
cambios
B. Considérese otras capas adicionales
C. Requiere Capas adicionales
D. Diseño inaceptable
Recuerde …
Categorias de Consecuencias
1 - Sin Heridos - Primeros Auxilios
10 - Heridos
100 - Incapacitados
1.000 - Con Muertes
10.000 - Con Multiples Muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 24
Luis Garcia / MP7
Handout 12
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Necesitamos Proteger …. (Inspecciones Mecánicas, fosas etc.)
… o Mitigar (Sistemas de supresión – SG&F)
Categorías de Frecuencia - Años
Consecuencia
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
Donde:
Recuerde …
A. Diseño aceptable – No requiere
cambios
Categorias de Consecuencias
1 - Sin Heridos - Primeros Auxilios
B. Considérese otras capas adicionales
10 - Heridos
C. Requiere Capas adicionales
100 - Incapacitados
D. Diseño inaceptable
1.000 - Con Muertes
10.000 - Con Multiples Muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 25
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Los SG&F son sistemas de mitigacion, luego el evento indeseable esta presente
Consideremos una pinchadura equivalente a un orificio de 1” Dia.
Escenario
Cobertura de
Detección
Activación SG&F
Efectividad del
Supresor
Frecuencia
Consecuencias
Consecuencia
Ponderada
Si
0.729
1
0.729
Si
0.9
0.081
100
8.100
0.090
100
9.000
0.100
100
10.000
Si
0.9
0.9
No
0.1
Fugas 1" Dia
No
1 x 10+00
0.1
No
0.1
Considerando:
Totales
1.000
27.829
1. Coberturas exageradas (90%)
2.SG&F SIL 1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 26
Luis Garcia / MP7
Handout 13
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Los SG&F son sistemas de mitigacion, luego el evento indeseable esta presente
Consideremos una pinchadura equivalente a un orificio de 1” Dia.
Cobertura de
Detección
Escenario
Activación SG&F
Efectividad del
Supresor
Frecuencia
Consecuencias
Consecuencia
Ponderada
Si
0.802
1
0.802
Si
0.9
0.089
100
8.900
0.009
100
0.900
0.100
100
10.000
Si
0.99
No
0.9
0.1
Fugas 1" Dia
No
1 x 10+00
0.01
No
0.1
Totales
1.000
20.602
Con un SG&F SIL 2
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 27
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Los SG&F son sistemas de mitigacion, luego el evento indeseable esta presente
Consideremos una pinchadura equivalente a un orificio de 1” Dia.
Escenario
Cobertura de
Detección
Si
Activación SG&F
Efectividad del
Supresor
Frecuencia
Consecuencias
Consecuencia
Ponderada
Si
0.809
1
0.809
Si
0.9
0.999
No
0.090
100
8.991
0.001
100
0.001
0.100
100
10.000
0.9
0.1
Fugas 1" Dia
No
1 x 10+00
0.001
No
0.1
… y con un SG&F SIL 3
Totales
1.000
19.801
La contribución del SG&F es pequeña entre SIL 1 y SIL 2, a pesar de haber exagerado la cobertura y
eficiencia de los sensores y supresores
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 28
Luis Garcia / MP7
Handout 14
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Los SG&F son sistemas de mitigacion, luego el evento indeseable esta presente
Consideremos ahora una pinchadura equivalente a un orificio de 6” Dia. con un SG&F SIL 2
dada su contribución.
Escenario
Cobertura de
Detección
Si
Activación SG&F
Efectividad del
Supresor
Frecuencia
Consecuencias
Consecuencia
Ponderada
Si
0.802
10
8.018
Si
0.9
0.089
1000
89.000
0.009
1000
9.000
0.100
1000
100.000
0.99
No
0.9
0.1
Fugas 6" Dia
No
1 x 10+00
0.01
No
0.1
Totales
1.000
206.018
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 29
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Los SG&F son sistemas de mitigacion, luego el evento indeseable esta presente
Y finalmente consideremos la rotura total del tubo, con un SG&F SIL 2 (aquí otra vez, dada su
contribución)
Escenario
Cobertura de
Detección
Activación SG&F
Efectividad del
Supresor
Frecuencia
Consecuencias
Consecuencia
Ponderada
Si
0.802
100
80.180
Si
0.9
0.089
10000
891.000
0.009
10000
90.000
0.100
10000
1000.000
Si
0.99
0.9
No
0.1
Fugas Tubo Roto
No
1 x 10+00
0.01
No
0.1
Totales
1.000
2061.180
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 30
Luis Garcia / MP7
Handout 15
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Entonces:
Las consecuencias promedio ponderadas MITIGADAS están dadas por:
CPN = 0.94 x 20.6 + 0.05 x 206.1 + 0.01 x 2061 = 49.8
Siendo la frecuencia mitigada la misma, pues consideramos capas de protección:
FSM = 2.9 x 10-2 + 1.5 x 10-3 + 3.1 x 10-4 = 3.08 x 10-2
Veamos ahora como juegan estos resultados en la matriz de riesgo
…
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 31
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
La capa de mitigacion apenas nos ha disminuido suficiente para que no haya heridos, pero si
incapacitados, por lo que se requieren de capas de protección.
32 Años
3.08 x 10-2
Consecuencia
1
10
100
1.000
10.000
Categorías de Frecuencia - Años
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
A
A
A
B
B
A
A
B
B
C
B
B
C
C
B
C
C
D
C
C
D
D
49.8
A
244
B
B
Donde:
A. Diseño aceptable – No requiere
cambios
B. Considérese otras capas adicionales
C. Requiere Capas adicionales
D. Diseño inaceptable
Recuerde …
Categorias de Consecuencias
1 - Sin Heridos - Primeros Auxilios
10 - Heridos
100 - Incapacitados
1.000 - Con Muertes
10.000 - Con Multiples Muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 32
Luis Garcia / MP7
Handout 16
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
1.
Agregar Capas de protección (Infecciones, integridad mecánica etc.)
2.
Integridad del SG&F no es garantía de alcanzar el nivel de riesgo aceptable
3.
Revisar diseño con énfasis en cobertura y eficiencia de sensores y supresores
4.
Revisar BIEN la TR 84.00.07
Frecuencia Meta
1 x 10-4
Frecuencia Actual
3.08 x 10-2
Capas de Protección
Categorías de Frecuencia - Años
Consecuencia
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
A
B
B
C
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
49.8
100
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 33
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
¿Conviene realmente el uso de SIS en aplicaciones de G&F?
¿Qué pasa si utilizamos como SG&F, PLCs no certificados?
Escenario
Cobertura de
Detección
Activación SG&F
Efectividad del
Supresor
Frecuencia
Consecuencias
Consecuencia Ponderada
Si
0.405
1
0.405
Si
0.9
0.045
100
4.500
0.450
100
45.000
0.100
100
10.000
Si
0.5
0.9
No
0.1
Fugas 1" Dia
No
1 x 10+00
0.5
No
0.1
Totales
1.000
59.905
Repitiendo para 6” Dia. Y Rotura total, nos quedaría que:
CPN = 0.94 x 59.91 + 0.05 x 599.1 + 0.01 x 1535.5 = 101.62
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 34
Luis Garcia / MP7
Handout 17
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Ni siquiera UN Orden de Magnitud.
32 Años
3.08 x 10-2
Consecuencia
Categorías de Frecuencia - Años
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
B
B
C
C
B
C
C
D
C
C
D
D
100
1.000
10.000
A
101.6
244
B
B
Donde:
Recuerde …
A. Diseño aceptable – No requiere
cambios
Categorias de Consecuencias
1 - Sin Heridos - Primeros Auxilios
B. Considérese otras capas adicionales
10 - Heridos
C. Requiere Capas adicionales
100 - Incapacitados
D. Diseño inaceptable
1.000 - Con Muertes
10.000 - Con Multiples Muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 35
Luis Garcia / MP7
ISA TR84.00.07 – Evaluación de Efectividad en SG&F
Ni siquiera UN Orden de Magnitud.
Frecuencia Meta
No se llega a A
Consecuencia
3.08 x
10-2
Frecuencia Actual
-2
3.08 x 10
32
Años
CapasCategorías
de Protección
de Frecuencia - Años
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
C
B
B
C
C
D
B
C
C
D
D
101.6
1.000
10.000
Donde:
A. Diseño aceptable – No requiere
cambios
B. Considérese otras capas adicionales
C. Requiere Capas adicionales
D. Diseño inaceptable
Recuerde …
Categorias de Consecuencias
1 - Sin Heridos - Primeros Auxilios
10 - Heridos
100 - Incapacitados
1.000 - Con Muertes
10.000 - Con Multiples Muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 36
Luis Garcia / MP7
Handout 18
El papel de Siemens en un SG&F
Existen entonces varios factores a tener en cuenta en el diseño e instalación de
un SG&F
El ciclo de vida de un SG&F según ANSI/ISA TR 84.00.07 es:
1 – Identificación de áreas problemáticas
2 – Identificación de escenarios de riesgo
3 – Hacer un análisis de consecuencias
4 – Hacer un análisis de frecuencia
5 – Hacer un análisis de riesgo no mitigado
6 – Identificación de requerimientos del SG&F
7 – Desarrollar el diseño preliminar del SG&F
8 – Evaluar la cobertura de los detectores
9 – Evaluar la disponibilidad Segura del SG&F
10 – Hacer un análisis de riesgo mitigado
11 – Modificar diseño del SG&F
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 37
Luis Garcia / MP7
¿Certificar la aplicación?
Tradicionalmente NFPA 72 era un estándar para edificaciones, y en la Industria se utilizaba solamente con un
procesador lógico Industrial y certificado para seguridad funcional. Pero ¿Es esto suficiente?
DCS
ESD
Sistema de Gas y Fuego siguiendo los
delineamientos generales de NFPA72
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 38
Luis Garcia / MP7
Handout 19
¿Certificar la aplicación?
Como dijimos; tradicionalmente el estándar NFPA 72 para edificios ha sido utilizado para la industria, con la sola
adición de un PES certificado para seguridad funcional. Y sin embargo se necesita un sistema que:
1.
Sea un sistema completo certificado por terceros
(FM por
ejemplo, según la NFPA 72)
2.
Utilice el mismo hardware que PLC y DCS de control y SIS
3.
Su Certificación/Aprobación incluya tanto combustibles
como gases tóxicos
Esté integrado al SIS y al SBCP
Tenga los mismos aditamentos
Incluya redundancia para tolerar fallas
Tenga 24 horas de respaldo de baterías además de
respuesta rápida
Soporte varios protocolos de comunicación industrial
(como los SPE)
4.
5.
6.
7.
8.
(Ethernet,
Profibus, Modbus, etc.)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 39
Luis Garcia / MP7
¿Certificar la aplicación?
Como dijimos; tradicionalmente el estándar NFPA 72 para edificios ha sido utilizado para la industria, con la sola
adición de un PES certificado para seguridad funcional. Y sin embargo se necesita un sistema que:
9. Sea simple de reparar y mantener
10. Sea mas amigable que un encolado de
múltiples sistemas como se necesitaba
antes
11. Tenga una arquitectura abierta
12. Tenga una herramienta de programación
normal en una estación de ingeniería de
planta
13. Sea tecnología común disponible como
estándar
14. Reduzca la necesidad de entrenamiento y
repuestos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 40
Luis Garcia / MP7
Handout 20
¿Certificar la aplicación?
El sistema de Gas y Fuego FGS1400 MKII
Desarrollado por AE Solutions
Un Socio de Soluciones Siemens
Reconocido en USA y Canadá con aprobación NRTL
Aprobado por Factory Mutual (FM)
Fire Alarm Signaling Systems 3010
Combustible Gas Detectors 6310, 6320
Toxic Gas Detectors 6340
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 41
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII
Desarrollado a través de una estrecha
colaboración entre
Siemens US y AESolutions
El primer Sistema Industrial de Gas y Fuego con PLC certificado SIL
en el mercado
Basado en los controladores certificados para
seguridad
Funcional Simatic S7-400 y S7-300
Con módulos de E/S certificados
Con mas de 60 sistemas en el mercado
Instalaciones en condiciones criticas
( Conoco-Phillips - North Slope Alaska)
Producción al momento 1 sistema cada 4 semanas.
Usuarios incluyen PCS Nitrogen, Denbury Onshore, y Pioneer
Natural Resources
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 42
Luis Garcia / MP7
Handout 21
Sistema de gas y Fuego FGS1400 MKII
Construido para cumplir con TODO requerimiento regulatorio
Requerimientos regulatorios de Gas y Fuego
OSHA 1910.38 Employee Alarm Systems Requirement –
Emergency Action Plan
OSHA 1910.155 Fire Detection – Nationally recognized laboratory
Factory Mutual Estandar 3010, 6320
NFPA72
OSHA 1910.164 Fire Detection Systems – Circuit Supervision
Circuito abierto, corto circuito, falla de tierras
OSHA 1910.165 Employee Alarm Systems – Circuit supervision –
Power Supply Monitoring
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 43
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII
Probado en campo con una solida base instalada
2003 Conoco-Phillips KUTP FGS100 Siemens’ (basada en Quadlog)
2006-2007 Pioneer Natural Resources - 3 Sistemas de 955 E/S cada uno
2006-2012 Conoco-Phillips planta CPF1 - 15 Sistemas de 3301 E/S cada uno
2009 PCS Nitrogen Planta de supresión de NH3 - 1 Sistema 400 E/S
2009-2010 Conoco-Phillips planta CPF2 - 10 Sistemas de 2386 E/S cada uno
2011 Conoco-Phillips Planta Alpine - 4 Sistemas de 1455 E/S cada uno con interface
operador IP21
2011 Conoco-Phillips Planta STP - 2 Sistemas de 569 E/S cada uno
2011-Hasta Hoy Conoco-Phillips planta CPF3 - 5 Sistemas de 1223 cada uno hasta ahora
2 012 Denbury Onshore LLC - 1 Sistema de 273 E/S
2010- Hasta hoy 12 plataformas de perforación - 140 E/S cada Panel
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 44
Luis Garcia / MP7
Handout 22
Sistema de gas y Fuego FGS1400 MKII
Protección con :
Paneles simples con desde 50 a 600 circuitos de campo
Que soporta E/S locales o remotas
Para áreas de clasificación general o Clase 1 División 2 para
E/S remotas
Con controladores en arquitecturas simples o redundantes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 45
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII - Características
Interface con equipos de campo con módulos S7-300F de E/S certificados hasta SIL 3
Diseñado con circuitos supervisores siguiendo la NFPA 72
Permite el aislamiento de fallas de tierra sin tener que desconectar
Minimiza cantidad de componentes y complejidad en su fabricación
Tarjetas con recubrimiento conformal
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 46
Luis Garcia / MP7
Handout 23
Sistema de gas y Fuego FGS1400 MKII - Características
Cumple con especificaciones de señales de alarma FM 3010
Circuito Supervisor (IDC) requiere MTA-AI-00-01
Provee supervisión a todos los tipos, clases y estilos de circuitos IDC
Usado por todo contacto seco de equipos de campo de 2, y 3, cables, además de transmisores
analógicos de 4 cables
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 47
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII - Características
Cumple con especificaciones de señales de alarma FM 3010
Operación correcta para todos los circuitos NAC de acuerdo a los requerimientos de
supervisión de circuitos usando los ensambles MTA-DOSUPV-00-01
2A continua por circuito
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 48
Luis Garcia / MP7
Handout 24
Sistema de gas y Fuego FGS1400 MKII - Características
Cumple con especificaciones de señales de alarma FM 3010
Operación correcta para todos los circuitos SDC de acuerdo a los requerimientos de
supervisión de circuitos usando los ensambles MTA-DO-00-01
2A continua por circuito
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 49
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII - Características
Cumple con especificaciones de señales de alarma FM 3010
Combinación con E/S para el sistema HVAC , y otras señales discretas que no
requieren la supervisión y diagnostico exigido por NFPA 72 utilizando el ensamble MTADI-00-00
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 50
Luis Garcia / MP7
Handout 25
Sistema de gas y Fuego FGS1400 MKII - Características
Cumple con especificaciones de señales de alarma FM 3010
Combinación con E/S para el sistema HVAC , y otras señales discretas que no
requieren la supervisión y diagnostico exigido por NFPA 72 utilizando el ensamble MTADORLY-00-01
Con capacidad de 10A, 250VAC de carga resistiva y 7A de Carga inductiva
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 51
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII - Características
Cumple con especificaciones de señales de alarma FM 3010
Combinación con E/S para el sistema HVAC , y otras señales de salida Analógicas que no
requieren la supervisión y diagnostico exigido por NFPA 72 utilizando el ensamble MTA-AO-00-00.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 52
Luis Garcia / MP7
Handout 26
Sistema de gas y Fuego FGS1400 MKII - Características
Cumple con especificaciones de señales de alarma FM 3010
Basado en Arquitecturas de Simatic PCS7
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 53
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII - Características
PSS1400 Estación de supervisión propietaria
Monitorea múltiples sistemas de protección FGS1400 MKII
Estación de Ingeniería
Remota o Local
(Requerida)
PCS7 OS Estación
Simple con Safety
Matrix Viewer y
Monitor Dual
PCS7 OS Estación
Simple con Safety
Matrix Viewer
PCS7 ES Con Safety
Matrix
Systembus
FGS 1400
Industr. Ethernet / Fast Ethernet
FGS 1400
AS 414 FH
AS 417 FH
FGS 1400
AS 414 F
AS 417 F
AS 414 FH
AS 417 FH
Controlador redundante
basado en PCS 7 PC
WinCC Flex Touchpanel FRI,
Controladores Redundantes
WinCC Flex Touchpanel
FRI, Controlador Sencillo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 54
Luis Garcia / MP7
Handout 27
Sistema de gas y Fuego FGS1400 MKII - Características
Tipica estructira de E/S para un sistema de Gas y Fuego
Systembus
Industr. Ethernet / Fast Ethernet
AS 414 FH
AS 417 FH
ET 200M
Fail-Safe
OLM
Modulo del Compressor
Panel opcional de E/S
Remoto
Panel opcional de E/S
Remoto
ET 200M
ET 200M
OLM
Fail-Safe
Bombas
Fail-Safe
Panel opcional de E/S Remoto
Modulo del Separador
Modulo de
Modulo de …
ET 200M
Panel opcional de E/S Remoto
Fail-Safe
ET 200M
Fail-Safe
PROFIBUS-DP
GLASS FIBER
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 55
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
El sistema de energía de respaldo debe operar normalmente por 24 horas; y luego;
1. El sistema debe poder operar todas las Alarmas por 5 minutos
2. El sistema debe de poder monitorear la salud de todo el cableado en
campo
3. El voltaje en los equipos de campo deben alcanzar el mínimo
especificado por los fabricantes de los equipos utilizados
4. Los equipos de campo deben estar aprobados para el servicio en el
cual se están usando
Por tal razón se desarrolló la fuente de poder PS1400-50-600-08-00LE284230-RK-FM
Max corriente en alarma 50 A
Max corriente en espera 25 A
Max corriente regulada 8 A, Normalmente usada en
sistemas sencillos
Sin fuentes de poder auxiliares
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 56
Luis Garcia / MP7
Handout 28
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
El sistema de energía de respaldo debe operar normalmente por 24 horas; y luego;
1. El sistema debe poder operar todas las Alarmas por 5 minutos
2. El sistema debe de poder monitorear la salud de todo el cableado en
campo
3. El voltaje en los equipos de campo deben alcanzar el mínimo
especificado por los fabricantes de los equipos utilizados
4. Los equipos de campo deben estar aprobados para el servicio en el
cual se están usando
Y también se desarrolló la fuente de poder PS1400-50-600-16-00LE364230-RK-FM
Max corriente en alarma 50 A
Max corriente en espera 25 A
Max corriente regulada 16 A, Normalmente usada en
sistemas Redundantes
Sin fuentes de poder auxiliares
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 57
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
El sistema de energía de respaldo debe operar normalmente por 24 horas; y luego;
1. El sistema debe poder operar todas las Alarmas por 5 minutos
2. El sistema debe de poder monitorear la salud de todo el cableado en
campo
3. El voltaje en los equipos de campo deben alcanzar el mínimo
especificado por los fabricantes de los equipos utilizados
4. Los equipos de campo deben estar aprobados para el servicio en el
cual se están usando
Así como la fuente de poder
PS1400-100-1200-16-00-LE424630-RK-FM
Max corriente en alarma 100 A
Max corriente en espera 50 A
Dos convertidores DC-DC usados en sistemas Redundantes
Soporta fuentes de poder auxiliares
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 58
Luis Garcia / MP7
Handout 29
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
Todo en cumplimiento con la requerida supervisión de fuentes de poder/sistema eléctrico: Falla de AC, Revisión de
batería, Alto y Bajo voltaje DC y fallas de tierra
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 59
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
¿Como rompo
esto?
Ensayo de carga/descarga de baterías
1ro – Descargar bajo máxima corriente por 24 horas.
2do – Inmediatamente después por 10 minutos y máxima carga.
3ro – El sistema debe recargarse completamente en 48 horas
mientras soporta máxima carga de espera y variación de
voltaje
4to – El sistema debe de operar finalmente al 85 % y al 110 % de la
capacidad de la fuente primaria y secundaria a carga máxima
y mínima.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 60
Luis Garcia / MP7
Handout 30
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
Condiciones ambientales
4 horas a 0 °C
4 horas a 0 49 °C
24 horas a 0 100 °F y 90% RH
Todo a Max. Carga en espera
Pruebas dieléctricas
A 1000V + 2 x clasificación de voltaje para circuitos
arriba de 30VAC o 60VDC
Prueba de reversión de polaridad en baterías
Las conexiones de la batería son revertidas para
demostrar la habilidad del equipo a fallar en forma
segura
Tierras protegidas
La tierra del sistema debe de ser menos de 1 ohmio.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 61
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
– Falla del transformador
El secundario de la línea de alimentación será puesto en
corto para demostrar la habilidad del equipo en fallo
seguro
– Inmunidad RFI
Pruebas de radio frecuencia a 150, 450, y 850 MHZ a 5W y
a una distancia de dos pies. No debe haber ninguna
interferencia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 62
Luis Garcia / MP7
Handout 31
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos – Señales y Alarmas
En un ambiente Simatic diseñado a sus necesidades
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 63
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos – Señales y Alarmas
En un ambiente Simatic diseñado a sus necesidades
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 64
Luis Garcia / MP7
Handout 32
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos – Señales y Alarmas
En un ambiente Simatic diseñado a sus necesidades
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 65
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos – Señales y Alarmas
En un ambiente Simatic diseñado a sus necesidades
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 66
Luis Garcia / MP7
Handout 33
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos
Gabinetes
Clasificación NEMA o IP rating para operación normal
Un ejemplo de cada tipo debe de ser evaluado
Requerido como operacional y programado
Demonstrar que cada circuito soporta máx. carga
Verificar Alarmas, detección de fallas y funciones supervisoras
Supervisión circuito SLC
Supervisión completa en cumplimiento de NFPA
Todo circuito suplementario debe verificarse bajo operación normal bajo
condición de falla
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 67
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos – Señales y Alarmas
Compatibilidad de equipos SLC
Detector de módulos de E/S debe de ser verificado como compatible con
las interfaces de control
Variación de Voltaje
Verificar operación normal a máx. y mínima carga con 85 % y 110 % del
potencia en las fuente principal y secundaria
Vibración
4 horas de pruebas de vibración a 0.5 mm de desplazamiento
Ensayo conducido a frecuencias de 10-30-10 a 2 ciclos por minuto
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 68
Luis Garcia / MP7
Handout 34
Sistema de gas y Fuego FGS1400 MKII – Otros requerimientos
NFPA 72 Diseño y requerimientos – Señales y Alarmas
Protección contra picos inducidos
La fuente del sistema será ciclada 500 veces sin que haya una liberación
accidental de supresores
Tierras protegidas
La tierra debe ser menos de 1 Ohmio
Inmunidad RFI
Radio frecuencia a 150, 450, y 850 MHZ a 5W a una distancia menos a 2
pies no debe interferir con el normal funcionamiento del equipo
Picos
Pruebas a 100, 500, 1000, 1500, y 2400 V en cada circuito de E/S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 69
Luis Garcia / MP7
Sistema de gas y Fuego FGS1400 MKII – Certificados
Certificado de aplicación completa
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 70
Luis Garcia / MP7
Handout 35
El primer sistema Industrial para Gas y Fuego
1. Componentes certificados
2. Ingenieria certificada
3. Aplicacion certificada
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 71
Luis Garcia / MP7
Handout 36
¿Como puede ser considerado una buena practica el hacer un
Bypass en el momento mas critico de la operación?
Por: Luis Garcia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Answers for industry.
Introducción y/o Justificación
Hay dos tipos de Bypass:
1. Los Operacionales o que están dirigidos a una variable
(instrucción de ignorar la variable)
2. Los de Mantenimiento o que están dirigidos a un equipo de campo
(instrucción de ignorar la señal de ese equipo en especifico)
Es común el utilizar el primero cuando hacemos
arranques de planta … pero …
ACME
OSHA
¿Es esto conveniente?
¿Se puede evitar?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Introducción y/o Justificación
Lo que pasa …
Veo que cumplen con La Osha 1910.119, dado que han aplicado la IEC
61511 Modificada o la ANSI/ISA 84.00.01 – 2004. ¡Estoy impresionado!
Entonces podemos arrancar,
¿verdad?
¡Claro!
ACME
OSHA
¡Por supuesto, como
indica el manual!
¿Procedo entonces a
Bloquear el SIS?
¿… es lo mas aconsejable ?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Introducción y/o Justificación
Esto significa …
Reemplazar el SIS por un equipo de HUMANOS …
Gerente de Arranque
ALARMAS
ALARMAS
PRODUCCION
ALARMAS
VARIABLES
¿Es esto aconsejable?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
ARENA MOVEDIZA
Luis Garcia / MP7
Handout 2
Introducción y/o Justificación
¿Qué indican los Números?
Para Beneficio de esta discusión, consideremos el
supuesto negado que solo el 1% del total de
accidentes ocurridos en la Industria se han
producido durante el arranque, transiciones o
paradas de emergencia planificadas. (Una cifra por
demás conservadora)
Es decir, aceptemos el supuesto negado de que 1 de cada 100 accidentes ocurran
durante el arranque de planta.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Introducción y/o Justificación
¿Qué indican los Números?
Pero una planta opera en promedio por 5 años
O sea: 5 x 8760 Horas = 43.800 Horas en estado estable
Mientras que se arranca en promedio en dos días
O sea: 2 x 24 Horas = 48 Horas en estado inestable
Las 99 plantas tuvieron una tasa de accidentes de:
99 accidentes / 43.800 horas = 0,00023 accidentes por hora
La tasa de accidentes en arranque fue de:
1 accidente / 48 horas = 0,021 accidentes por hora
¡Dos ordenes de Magnitud mas alto!
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Introducción y/o Justificación
¿Qué indican los Números?
Mientras que la tasa de fallas operando ha sido bajada considerablemente …
Del orden de 10-3 a 10-5 – (Gracias a los estándares)
¡Muy poco se ha hecho para reducir la tasa de
accidentes en arranque!
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Introducción y/o Justificación
¿En que se basa la supresión de un SIS en arranque?
Los pretextos son variados:
1. Los periodos de arranque o transitorios son muy cortos y
pueden ser administrados por operarios
2. Hay muy poca similitud entre los procesos
3. Hay muy poca similitud entre el arranque y la operación en
estado estable
4. El proceso de arranque esta mas afectado por la subjetividad
del operador y condiciones puntuales
5. Por ser las transiciones secuenciales y dinámicas, cambios
en los enclavamientos son críticos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Introducción y/o Justificación
Cuestionamiento
Analicemos uno por uno:
1. Los periodos de arranque o transitorios son muy cortos y pueden
ser administrados por operarios
Las transiciones representan el momento mas volátil de la operación
El SBCP generalmente no es capaz de reaccionar a rápidos comandos manuales
El operador esta sometido a mucha presión por inestabilidad de variables
La falta de “uso” (en este caso) no es capa de protección debido a alta demanda
La intervención humana no es una capa de protección por alta demanda
(no es auditable o confiable – que se pueda depender de su accionamiento)
Nota: Human Error (action or inaction) as defined by ANSI/ISA 84.00.01 (part 1) or IEC 61511-1 Mod. Definitions - 3.2.32 page 26
Note: ANSI/ISA 84.00.01 Part 2 or IEC 61511-2 Mod Offers guidance on how to include operator’s availability and reliability
calculations.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 9
Luis Garcia / MP7
Introducción y/o Justificación
Cuestionamiento
Analicemos uno por uno:
2. Hay muy poca similitud entre los procesos
De acuerdo, y esto hace difícil el uso de SIS durante el arranque.
¿El ser difícil para un SIS, lo hace mas fácil para un operario?
Existen estrategias que permiten manejar estas disimilitudes
… Presentamos …
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
Luis Garcia / MP7
Handout 5
Introducción y/o Justificación
Cuestionamiento
Analicemos uno por uno:
3. Hay muy poca similitud entre el arranque y la operación en estado
estable
A pesar de estar el proceso mas tiempo en condición estable, la tasa de demanda se incrementa en
estado inestable.
El SBCP puede no estar entonado para manejar los cambios.
En vez de gastar tempo en escribir “procedimientos” de arranque o durante transiciones, se puede
gastar mucho mas eficientemente tiempo en crear rutinas en el SIS para proteger la planta en condiciones
de mucha tensión para los operadores
Existe la manera de crear programas avanzados que manejen el arranque (como en aplicaciones de
BMS), los cuales pueden ser verificados y validados de acuerdo al resto de los estándares
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 11
Luis Garcia / MP7
Introducción y/o Justificación
Cuestionamiento
Analicemos uno por uno:
4. El proceso de arranque esta mas afectado por la subjetividad del
operador y condiciones puntuales
Aquí otra vez permitimos que “dificultad” tenga prioridad sobre “Seguridad”
El mismo nivel de participación se requiere de un operario para escribir un manual que para
automatizar un proceso.
Prueba es la NFPA 85, NFPA 86 y los BMS que se han automatizad
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 12
Luis Garcia / MP7
Handout 6
Introducción y/o Justificación
Cuestionamiento
Analicemos uno por uno:
5. Por ser las transiciones secuenciales y dinámicas, cambios en los
enclavamientos son críticos
Es esta la RAZON EXACTA por la cual los procesos de arranque deben de estar automatizados,
siguiendo la IEC 61511 (Mod), ANSI/ISA 84.00.01 - 2004
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 13
Luis Garcia / MP7
Introducción y/o Justificación
Resumiendo
ANSI/ISA-84.00.01-2004 Part 3 (IEC 61511-3 Mod) Pág. 60
¿Es que acaso tenemos Sicólogos en el
comité?
¿Utilizamos Sicólogos en los arranques
de planta?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 14
Luis Garcia / MP7
Handout 7
Secuencias Permisivas – Matriz Causa Efecto
¿Cuanto realmente podemos evitar la incertidumbre por factores humanos?
Respuesta fácil: ¡NO permita intervención humana si se puede evitar!
¡Si se puede documentar en un Manual
de Operaciones, definitivamente se
puede programar en un SIS!
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 15
Luis Garcia / MP7
Secuencias Permisivas – Matriz Causa Efecto
Ejemplo de limitaciones humanas
Es extremadamente difícil para la mente humana el ejecutar dos
operaciones digitales al mismo tiempo. Por ejemplo; contar los
latidos del corazón a la vez que se cuentan 30 segundos en un
reloj. Sin embargo la mente humana puede sin dificultar contar los
latidos del corazón y registrar que la línea de un minuto o 30
segundos ha sido alcanzada en un reloj, pues se reconoce que se
ha alcanzado un valor analógico lo cual no requiere de mucho
procesamiento. Por ello los doctores y enfermeras no usan relojes
digitales, sino de manecillas
Otras Limitaciones de la mente:
El Punto Fantasma
Los Puntos Fantasmas
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 16
Luis Garcia / MP7
Handout 8
Secuencias Permisivas – Matriz Causa Efecto
Requerimientos
?!?
A
C
A
B
C
B
D
Para definir secuencias automáticas de permisivos, se
requieren básicamente dos cosas:
1. Profundo conocimiento del proceso y su operación
2. Herramientas que permitan la documentación y
programación dinámica
Ambos requerimientos son necesarios para lograr
comunicación fluida entre los miembros del equipo de
trabajo. Tanto Ingenieros de proceso y programadores
como operadores y personal de planta.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 17
Luis Garcia / MP7
Secuencias Permisivas – Matriz Causa Efecto
Requerimientos
?!?
A
C
A
B
C
B
D
Existen muchas formas de asignar FIS (Funciones
Instrumentadas de Seguridad) a RES (Requerimientos
Específicos de Seguridad.
1. Narrativa
2. Lógica Escalera
3. Bloques de Funciones
4. Matriz Causa-Efecto, etc.
Nosotros seleccionamos Matriz Causa-Efecto por ser esta una
forma de comunicación precisamente desarrollada para
simplificar la comunicación:
Usuario-Ingeniero de Sistemas.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 18
Luis Garcia / MP7
Handout 9
Secuencias Permisivas – Matriz Causa Efecto
Una Herramienta para La Lógica Estática
Fue creada en el ámbito del ”American
Petroleum Institute” (API) para facilitar el
entendimiento de la lógica de enclavamientos
Prácticas Recomendadas API 14C, para SIS para
plataformas costa afuera
EFECTO
Hoy en día utilizada para el Análisis de
seguridad con diagrama de evaluación
Causa
Luces Indicaban que causa y que efecto estaban
activos en un panel central
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 19
Luis Garcia / MP7
Secuencias Permisivas – Matriz Causa Efecto
Una Herramienta para La Lógica Estática
¿Como Funciona?
¡Ahhh!
Una Causa es una desviación en el proceso
Un efecto es una respuesta al proceso
Safety Analysis
Function Evaluation Chart
Plant ID
Hoja 1 of 20
Efecto No
Condición A
Condición B
Condición C
Condición D
Condición E
Causa No
Company ABC
Master Trip
La intersección define la relación entre la causa y el efecto
1
1
2
3
4
5
2
3
4
5
6
S
S
S
S
S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 20
Luis Garcia / MP7
Handout 10
Secuencias Permisivas – Matriz Causa Efecto
Una Herramienta para La Lógica Estática
¿Como Funciona?
Para documentar apropiadamente necesitamos expandir sobre las intersecciones un poco mas:
Tipo N o Normales
Tipo S o con memoria
Valvula 5
2
3
4
5
N
N
Master Trip
1
N
Valvula 4
1
2
3
4
5
Valvula 3
Safety Analysis
Function Evaluation Chart
Plant ID
Hoja 1 of 20
Efecto No
Condición A
Condición B
Condición C
Condición D
Condición E
Valvula 2
Company ABC
Valvula 1
Botón de
RESET
Causa No
Votación para expander el concepto de “o” de una columna
Reset
6
S
S
S
S
S
2N
2N
2N
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 21
Luis Garcia / MP7
Secuencias Permisivas – Matriz Causa Efecto
¡Por Supuesto!
Una Herramienta para La Lógica Estática
Esta matriz indica entonces las FIS asignadas a los RES.
alvu
la
VV
301
C
lo3
se
alvu
la
4
VV40
1O
pen
alvu
la
VV50
1O
p5
en
Master Trip
Master Trip
1
1
2
2
3
3
4
4
5
5
alvu
la
VV20
1O
p2
en
Safety Analysis
Function Evaluation Chart
Plant
PlantID
ID
Sheet
1 of
2020
Hoja
1 of
Effect
NoNo
Efecto
o
Condición A> 120 F
Temperature
Pressure
> 200
Condición
B Psi
Flow
< 56 Gal/m
Condición
C
Flow
< 56 Gal/m
Condición
D
Flow
< 56 Gal/m
Condición
E
alvu
la
1
VV10
1O
pen
Company ABC
Causa
auseNo
C
Si las condiciones detallan los puntos de disparo, no es
necesario mas documentos
1
N
2
2
33
44
55
66
S
SS
S
S
S
2N
2N
2N
2N
2N
2N
N
N
N
N
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 22
Luis Garcia / MP7
Handout 11
Secuencias Permisivas – Matriz Causa Efecto
Requerimientos para La Lógica Dinámica
Para hacer una matriz dinámica, es decir, que permita
secuenciación de arranque, debemos agregarle:
1. Posibilidad de que los efectos sean forzados aunque las
causas estén presentes.
1. Con limitantes de tiempo
2. Con intersecciones apropiadas
2. Temporizadores que gobiernen el accionamiento y
duración de las causas
3. Con supervisión de los efectos desde las causas
(retroalimentación o “Feedback”)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 23
Luis Garcia / MP7
Secuencias Permisivas – Matriz Causa Efecto
Requerimientos para La Lógica Dinámica
“Overrides” para forzar las Salidas o efectos
Los “overrides” o Salidas Forzadas deben de actuar cada vez que pasan del estado des-energizado al
estado energizado, en forma similar a los re-armados (resets).
Se debe limitar su acción al tiempo que los estudias de riesgo arrojen.
Se debe permitir demoras en su accionamiento
Las intersecciones de causas con efectos que puedan ser forzados serán entonces:
1.
Del tipo V o Normal que puede ser Forzada
2.
Del tipo R o con memoria que puede ser Forzada
3.
Del tipo X V o XR donde se permita votación
Botón de
Override
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 24
Luis Garcia / MP7
Handout 12
Secuencias Permisivas – Matriz Causa Efecto
Requerimientos para La Lógica Dinámica
Temporizado de las causas
Las causas por otra parte también deben de tener temporizadores que gobiernen su acción lógica.
Causa Activada
Causa Normal
Causa Normal
Causa Normal
Demora
Causa Normal
Causa Normal
Demora
Sin Temporizado
Demora Pre-Disparo (PRD)
Demora
Demora Post-Disparo (POD)
Causa Normal
Desactivada por tiempo (AT)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 25
Luis Garcia / MP7
Ejemplo de documentación dinámica
Supongamos el siguiente ejemplo:
En una Petroquímica, se necesita “secar” cierto hidrocarburo. Para ello se
hace circular el fluido por un reactor empaquetado con material
absorbente.
La reacción es exotérmica por lo que se utiliza la temperatura para evaluar
la efectividad de la reacción.
Si la temperatura baja de cierto nivel, (110 oF), es indicación de que el
reactivo se ha gastado el reactor debe de ser re-empaquetado.
La remoción de humedad del hidrocarburo es critica puesto que podría
causar eventos catastróficos aguas abajo, por lo que una FIS ha sido
calculada como SIL3 en un análisis LOPA.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 26
Luis Garcia / MP7
Handout 13
Ejemplo de documentación dinámica
Supongamos el siguiente ejemplo:
V 110
TT101
V 130
V 120
TT102
TT103
TT104
V 220
TT105
V 230
TT106
V 210
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 27
Luis Garcia / MP7
Ejemplo de documentación dinámica
Votación 4oo6
Plant ID
Hoja 1 of 20
Efecto No
Temperatura TT 101 < 110
Temperatura TT 102 < 110
o
o
F
F
Temperatura TT 103 < 110
o
F
Temperatura TT 104 < 110
Temperatura TT 105 < 110
Temperatura TT 106 < 110
o
F
F
F
o
o
1
Valvula 220 - Abre
Valvula 210 - Cierra
Valvula 230 - Cierra
Safety Analysis
Function Evaluation Chart
Valvula 120 - Abre
Company ABC
Valvula 130 - Cierra
Si 4 de 6 mediciones bajan de
110 oF, se aborta el proceso y
se necesita un reset de las
válvulas
Causa No
La matriz Tradicional
(estática) quedaría …
Valvula 110 - Cierra
Supongamos el siguiente ejemplo:
1
2
3
4
5
6
4S
4S
4S
4S
4S
4S
2
4S
4S
4S
4S
4S
4S
3
4
5
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
4S
6
4S
4S
4S
4S
4S
4S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 28
Luis Garcia / MP7
Handout 14
Ejemplo de documentación dinámica
Supongamos el siguiente ejemplo:
Para el arranque, el procedimiento de arranque es:
1. Se colocan todos los sensores de temperatura en “Bypass”
2. Se abren las válvulas V110, V130, V230 y V220. Se mantienen Cerrada las
Válvulas V210 y 120.
3. Se va aumentando el caudal a razón de 5 Galones por minuto cada cinco
minutos desde el SBCP hasta llegar 30 Galones por minuto.
4. La temperatura del secador debe de alcanzar 110 oF en los primeros 10
minutos de operación.
5. Se abre la Válvula V210 y se cierra la válvula V220
6. Se re-activa el SIS removiendo todo “Bypass”.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 29
Luis Garcia / MP7
Ejemplo de documentación dinámica
Manualmente:
1.
O
C
O
C
2.
B
C
O
B
3.
B
O
C
B
4.
OPERADOR
B
POR FAVOR NO ESTRESAR
C
O
O
C
B
A Proceso
Accidentes van a ocurrir. Mucha operación manual
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 30
Luis Garcia / MP7
Handout 15
Ejemplo de documentación dinámica
Effect No
Temperatura TT
Temperatura TT
Temperatura TT
Temperatura TT
Temperatura TT
Temperatura TT
Efecto No 1
101 > 110
102 > 110
103 > 110
104 > 110
105 > 110
106 > 110 oF
Timers
o
F
F
o
F
o
F
o
F
o
POD 20 s
POD 20 s
POD 20 s
POD 20 s
POD 20 s
POD 20 s
1
2
3
4
5
6
7
segundos
Delay
Output 10
segundos
Delay
Output 10
Minutos
Max
Override 10
Cierra
Valvula 210
Abre
Valvula 220
Cierra
Valvula 230
PB_START
Minutos
Max
Override 10
PB_START
Cierra
Minutos
Abre
Valvula 130
Max
Valvula 120
PB_START
Minutos
Max
Override 10
PB_START
Reset Tag
Override -
Hoja 13 de 13
Demora de 10 s
Causa No
Max. 10 Minutos
Identificacion de Planta
Cierra
Analisis de Seguridad Funcional
Diagrama de Evaluacion de Funciones
Valvula 110
Tiempo
Company ABC
Override 10
Pb_START
Una Matriz dinámica evitaría este peligro
… ¿y como funciona?
1
2
3
4
5
6
4R
4R
4R
4R
4R
4R
R
4R
4R
4R
4R
4R
4R
R
4R
4R
4R
4R
4R
4R
R
4R
4R
4R
4R
4R
4R
R
4N
4N
4N
4N
4N
4N
N
4N
4N
4N
4N
4N
4N
N
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 31
Luis Garcia / MP7
Handout 16
Utilizando Simatic
Ejemplo de Protección de Tanques
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Por Luis Garcia
Answers for industry.
Antecedentes Históricos
La gente tiende a olvidarse de los patios de tanques por varias razones:
Son espacios con poca gente
Están alejados del resto de las instalaciones
El “Tiempo Seguro” es de horas
Mucho tiempo para reaccionar, etc.
… Pero las consecuencias de un accidente pueden ser muy serias …
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Antecedentes Históricos
Apenas en estos últimos meses ha habido dos serios accidentes que han acaparado los titulares de la presa mundial
2005 Buncefield - UK
2012 Amuay - Venezuela
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Antecedentes Históricos
Con heridos, heridos graves y varias fatalidades que lamentar
242 accidentes serios entre 1960 y 2003
2005 Buncefield - UK
2012 Amuay - Venezuela
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
Luis Garcia / MP7
Handout 2
Antecedentes Históricos
Explicaciones y estudios posteriores
Reporte RR716 “A review of Layers of Protection Analysis (LOPA) analyses of overfill of fuel storage
tanks”
Data increíble
Ejercicios tratados como mera formalidad
Reporte Buncefield Recomienda
Desarrollar metodología
Realizar análisis de riesgos
Utilizar sistemas clasificados SIL
Utilizar SIS y realizar pruebas de Rendimiento
Orientar las organizaciones hacia la seguridad funcional
Utilizar sensores con alto diagnostico
Registrar y administrar los indicadores de rendimiento
Seguir un ciclo de vida de seguridad funcional – IEC 61511
Informe accidente Amuay
No hay conclusiones hasta el momento.
Buncefield
Amuay
Informe extraoficial en www.ISA.org Tank Farm Committee
Revisión de API RP 2350
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Con qué información se cuenta
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Con qué información se cuenta
Consecuencias
Frequenciy Cathegories - Years
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
Categorías de Consecuencias
1 - Sin Heridos – Primeros Auxilios
10 – Heridos No incapacitados
100 – Incapacitados sin fatalidades
1.000 - Al menos una fatalidad
Definiciones de Zonas de diseño:
A. Diseño Aceptable – No requiere cambios
B. Considere Protecciones adicionales
C. Requiere Protección adicional
D. Rediseñe
10.000 – Múltiples fatalidades
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Repasemos el concepto de Capas de Protección
¿Cuanto puedo reducir riesgo?
Capas
Exteriores
Respuesta a Emergencia en la Comunidad
Respuesta a Emergencia en Planta
Protección Física (Diques)
Protección Física (Sistemas de alivio)
SIS
Alarmas, intervención del operador
SBCP
Capas
Interiores
Proceso
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Repasemos el concepto de Capas de Protección
¿Como evaluó Riesgo?
Un Peligro a la vez
Peligro
Frecuencia
¿Cuántas capas
necesito?
Consecuencia
Riesgo
Estimado
Criterio
Políticas
Medidas para Mitigar/Reducir
Nivel Aceptable
Si
Riesgo
De Riesgo
NO
PROCEDE
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 9
Luis Garcia / MP7
Repasemos el concepto de Capas de Protección
Capas Interiores (Sistemas de protección)
Consecuencias
Frequenciy Cathegories - Years
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
Capas Exteriores (Sistema de Gas y Fuego)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
Luis Garcia / MP7
Handout 5
Resultado del los Análisis de Riesgo
1. Escenario: Derrame y liberación de gases inflamables que encuentran fuente de
ignición, dentro o fuera del área.
2. Causa Raíz: Fallas en el lazo de control debido a operaciones, instrumentación,
ordenes conflictivas etc.
3. Históricos muestran probabilidades de escenario (frecuencias) para diferentes
situaciones:
1. Derrame menor menor a 5 GPM ocurre el 86% de los casos con frecuencia de 1 x
10-1. El operario toma rápida acción
2. Derrame mayor a 5 GPM pero menor a 500 GPM ocurre el 12% de los casos con
frecuencia de 1.5 x 10-2. Generalmente son fallas en el sistema de control
3. Derrame catastrófico de más de 500 GPM ocurre el 2% de los casos con
frecuencia de 3 x 10-3
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 11
Luis Garcia / MP7
Resultado del los Análisis de Riesgo
1. Por otra parte las consecuencias no mitigadas han sido estimadas por el equipo de
análisis de riesgo como ajustadas a las siguientes categorías:
1. Derrame Menor, cae en categoría 100 ( y como 1 mitigadas)
2. Derrame mayor, cae en categoría 1.000 (y como 10 mitigadas)
3. Derrame catastrófico, cae en categoría 10.000 (y como 100 mitigadas)
1 – Sin heridos, Primeros Auxilios
10 – Heridos
Recordemos las Categorías
100 – incapacitados
1.000 – Muertos
10.000 – Múltiples muertes
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 12
Luis Garcia / MP7
Handout 6
Trabajamos la capa exterior (Sistema de gas y Fuego)
Siguiendo la metodología ISA TR84.00.07, Tenemos:
Las consecuencias promedio ponderadas NO MITIGADAS CWA están dadas por:
CWA = 0.86 x 19.89 + 0.12 x 1.000 + 0.02 x 10.000 = 406
Y la Frecuencia anual sin mitigar:
FSM = 1.0 x 10-1 + 1.5 x 10-2 + 3.0 x 10-3 = 1.04 x 10-1 (1 en 9.6 años)
406 x 1.04 x 10-1 x PFD todas las capas
9.6
Riesgo Tolerable (ƒ)
Frequenciy Cathegories - Years
Consecuencias
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
406
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 13
Luis Garcia / MP7
Trabajamos la capa exterior (Sistema de gas y Fuego)
Para un derrame menor, con un panel de G&F SIL 3 y coberturas SIL1 en campo:
Escenario
Cobertura
de
Detección
Activación del
Sistema
Efectividad de
Supresión
Yes
Yes
0.9
0.999
No
Yes
0.9
Derrame Menor
1 x 10
+00
(1/Año)
Frecuencia
Consecuencia
Consecuencia
Ponderada
0.80919
1
0.809
0.08991
100
8.991
0.00090
100
0.090
100
10.000
0.1
No
0.001
No
0.1
0.10000
Total Cwa
19.890
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 14
Luis Garcia / MP7
Handout 7
Trabajamos la capa exterior (Sistema de gas y Fuego)
Para un derrame mayor, con un panel de G&F SIL 3 y coberturas SIL1 en campo:
Escenario
Cobertura
de
Detección
Activación del
Sistema
Efectividad de
Supresión
Yes
Yes
0.9
0.999
No
Yes
No
Derrame Mayor
+00
(1/Año
Consecuencia
Consecuencia
Ponderada
0.80900
10
8.090
0.08900
1000
89.910
0.00900
1000
9.000
0.1
0.9
1 x 10
Frecuencia
0.001
No
0.10000
0.1
1000
Total Cwa
10.000
117.000
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 15
Luis Garcia / MP7
Trabajamos la capa exterior (Sistema de gas y Fuego)
Para un derrame catastrófico, con un panel de G&F SIL 3 y coberturas SIL1 en campo:
Escenario
Cobertura
de
Detección
Activación del
Sistema
Efectividad de
Supresión
Yes
Yes
0.9
0.999
No
Yes
0.9
Derrame
Catastrófico
1 x 10
+00
(1/Año)
Frecuencia
Consecuencia
Consecuencia
Ponderada
0.80900
100
80.900
0.08900
10000
899.100
0.00900
10000
90.000
0.1
No
0.001
No
0.1
0.10000
10000
100.000
Total Cwa
1170.000
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 16
Luis Garcia / MP7
Handout 8
Trabajamos la capa exterior (Sistema de gas y Fuego)
Con el sistema de Gas y Fuego tenemos:
Las consecuencias promedio ponderadas MITIGADAS CWA están dadas por:
CWA = 0.86 x 100 + 0.12 x 117.00 + 0.02 x 1170.00 = 54.54
Y la Frecuencia no es afectada (solo con capas interiores):
FSM = 1.0 x 10-1 + 1.5 x 10-2 + 3.0 x 10-3 = 1.04 x 10-1 (1 en 9.6 años)
Consecuencias
54 x 1.04 x 10-1 x PFD todas las capas
9.6
Riesgo Tolerable (ƒ)
Frequenciy Cathegories - Years
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
54
406
C
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 17
Luis Garcia / MP7
Veamos las capas interiores (Protección)
Dos capas de protección pasivas:
1. Ocupación del Area (área no esta ocupada salvo cuando hay labores de mantenimiento)
orden de magnitud
Se estima un
2. Fosa de contención para limitar derrame a zona con equipo clasificado para áreas peligrosas
estima un orden de magnitud
Fosa
FIS
se
Ocupación
54
9.6
Consecuencias
.0096
SIL 2
Frequenciy Cathegories - Years
>10.000
10.000 - 1.000
1.000 - 100
100 - 10
10 - 1
1
A
A
A
B
B
10
A
A
B
B
C
100
A
B
B
C
C
1.000
B
B
C
C
D
10.000
B
C
C
D
D
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 18
Luis Garcia / MP7
Handout 9
Resultados – Rendimiento en el SRS
Ejercicio para protección contra derrame por alto nivel
1 - FIS Nº 10104
Deviación:
Alto nivel
Causas:
Fallas en el lazo de control PID 101 debido a operaciones,
instrumentación, ordenes conflictivas etc.
Consecuencias:
Derrame de crudo. Puede incendiarse, extendiendo el peligro con
posibles fatalidades, destrucción de equipos y daños al ambiente.
Perdida de contención con daños al ambiente.
Reference:
PCS7V80-T101
Salvaguardas:
Fosa de contención y aislamiento. Sistema de Gas y Fuego.
HAZOP Concluye:
Agregue una FIS para aislar (cerrar) las líneas de entrada (Entrada
Principal y Recirculación Minima de las bombas), para abrir los
drenajes y el blanketing de CO2 para evitar implosiones por descarga
rápida. El SIL para esta FIS está calculado de acuerdo a ANSI/ISA
84.00.01, 2004 o IEC 61511 SLC con LOPA implícita. El sistema debe
ser rearmado MANUALMENTE (reset) una vez que se dispara. El
rearmado debe estar protegido.
SIL Requerido:
SIL 2
En forma similar se analizaron otros peligros
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 19
Luis Garcia / MP7
Resultados – Rendimiento en el SRS
Ejercicio para protección contra implosión por baja Presión
2 - FIS Nº 10102
Desviación:
Baja Presión
Causas:
Alto caudal de salida causado por fallas en el lazo de control PID 101
debido a operaciones, instrumentación, ordenes conflictivas etc.
Consecuencias:
Implosion del tanque con el consecuente derrame de crudo y posible
ignición. Posibilidad de heridos serios e incluso fatalidades.
Referencia:
PCS7V80-T101
Salvaguardas:
Alarmas de baja presión en el sistema de control. Disco de ruptura
hacia el sistema de blanketing de CO2. Fosa de contención y
aislamiento. Sistema de Gas y Fuego
HAZOP Concluye:
Agregue una FIS para abrir el sistema de blanketing de CO2. El SIL
para esta FIS está calculado de acuerdo a ANSI/ISA 84.00.01, 2004 o
IEC 61511 SLC con LOPA implícita.
El sistema debe ser rearmado MANUALMENTE (reset) una vez que se
dispara. El rearmado debe de estar protegido.
SIL Requerido:
SIL 1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 20
Luis Garcia / MP7
Handout 10
Resultados – Rendimiento en el SRS
Ejercicio para protección contra falla mecánica del tanque por alta Presión
3 - SIF Nº 10102
Deviación:
Alta Presión
Causas:
Fallas en el lazo de control PID 101 debido a operaciones,
instrumentación, ordenes conflictivas etc.
Consecuencias:
Integridad mecánica del tanque es comprometida con la consecuente
destrucción del tanque. Derrame de crudo y posible ignición o
contaminación. Posibilidad de contaminación del ambiente e incluso
heridos serios o fatalidades
Referencia:
PCS7V80-T101
Salvaguardas:
Alarmas de alta presión, disco de ruptura al sistema de blanketing de
CO2
HAZOP Concluye:
Agregue una FIS para abrir el sistema de blanketing de CO2. El SIL
para esta FIS está calculado de acuerdo a ANSI/ISA 84.00.01, 2004 o
IEC 61511 SLC con LOPA implícita.
El sistema debe ser rearmado MANUALMENTE (reset) una vez que se
dispara. El rearmado debe estar protegido.
SIL Requerido:
SIL 1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 21
Luis Garcia / MP7
Resultados – Rendimiento en el SRS
Ejercicio para protección contra obstrucciones en válvula y tuberías
4 - SIF Nº 10101
Deviación:
Bajo Nivel
Causas:
Fallas en el lazo de control PID 101 debido a operaciones,
instrumentación, ordenes conflictivas etc.
Consecuencias:
Daño a las válvulas y obstrucción de las tuberías
Referencia:
PCS7V80-T101
Salvaguardas:
Alarmas de bajo nivel
HAZOP Concluye:
Agregue una FIS para aislar el tanque de las líneas de drenaje y
descarga. El SIL para esta FIS está calculado de acuerdo a ANSI/ISA
84.00.01, 2004 o IEC 61511 SLC con LOPA implícita. El sistema debe
de ser rearmado MANUALMENTE (reset) una vez que se dispara. El
rearmado debe estar protegido.
SIL Required:
NO - LOPA implícita indica que no se requiere protección adicional
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 22
Luis Garcia / MP7
Handout 11
Resultados – Condición segura
La condición de
funcionamiento (qué
debe cada FIS hacer),
puede hacerse
completamente
utilizando Simatic
Safety Matrix®
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 23
Luis Garcia / MP7
Fase de realización
SALA DE CONTROL
Ambiente Controlado
Ex-Coupler
RS 485-IS
Bandeja abierta en
Zona 0
Intrínsecamente
Seguros
Patín de
Válvulas
TANK 101
Señales
Neumáticas e
intrínsecamente
seguras
Zona 1
SI E M
E NS
Gabinete de acero
Inoxidable
clase IP65 / EEX e
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 24
Luis Garcia / MP7
Handout 12
Fase de realización
SALA DE CONTROL
Ambiente Controlado
Ex-Coupler
RS 485-IS
Bandeja abierta en
Zona 0
Intrínsecamente
Seguros
Patín de
Válvulas
TANK 101
Señales
Neumáticas e
intrínsecamente
seguras
Zona 1
SI E M
E NS
Gabinete de acero
Inoxidable
clase IP65 / EEX e
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 25
Luis Garcia / MP7
Fase de Operación y Gestión de Cambios
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 26
Luis Garcia / MP7
Handout 13
Implicaciones de la Ruta 2H en la IEC61511
¿Una caja de Pandora?
Por: Luis Garcia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Answers for industry.
Rendimiento de un sistema durmiente
• Durmiente no significa que no hace nada!
• Solo actúa si es necesario – Como los guardias del palacio de Buckingham. Parecen maniquíes
inmóviles. ¿Como saber están vivos?
SIS
SBCP
TP
Sistema Durmiente
TP
• Usamos cálculos probabilísticos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Rendimiento de un sistema durmiente
Disponibilidad: Probabilidad de estar sano y disponible
PFD: Probabilidad de fallar en demanda o peligrosamente
No permite que el sistema proteja
PFS: Probabilidad de fallar en forma segura
Disparos en falso
PFD
PFS
PFD + PFS + Disponibilidad = 1
Disponibilidad
(FRR) = 1 / PFD
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Rendimiento de un sistema durmiente
El problema es que todos estos parámetros cambian con el tiempo
No es un problema con disparos en falso
Disponibilidad
P(t)
PFS
PFD
Gran problema con fallas ocultas …
time
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
Luis Garcia / MP7
Handout 2
Rendimiento de un sistema durmiente
1.
Tenemos por tanto:
1.
2.
Probabilidades de fallas peligrosas ocultas (PFD), las cuales aumentan con el tiempo y
que solo pueden ser detectadas con inspecciones.
Necesitamos:
1.
Crear niveles discretos de rendimiento basados en dichas probabilidades
Probabilidad de falla en demanda promedio
Ti
PFDPro = 1/T x 0 PFD(t) t
Donde : Ti es el tiempo entre inspecciones
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Mejor rendimiento en seguridad funcional
Rendimiento de un sistema durmiente
Safety Integrity Levels (Criterio Cuantitativo de Cumplimiento)
SIL
Probabilidad de Falla en
Demanda promedio (PFDPro)
(En modo demanda)
Factor de Reducción de
Riesgo (FRR)
SIL 4
0.0001 - 0.00001
10000 to 100000
SIL 3
0.001 - 0.0001
1000 to 10000
SIL 2
0.01 - 0.001
100 to 1000
SIL 1
0.1 - 0.01
10 to 100
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Rendimiento de un sistema durmiente ( Ejemplo;
Simple PFD
PRO
… Para PFDPRO < 0.1
IEC61508 “Modo Demanda”
SIL 1
PFDPRO : 0.01 – 0.001
SIL 2
PFDPRO : 0.001 – 0.0001
SIL 3
PFDPRO : 0.0001 – 0.00001
SIL 4
~ t
t)
… Tasa de falla
constante
Alto SIL es
exponencialmente
mas difícil de
alcanzar
PFD (t)
IEC61508 “Modo Demanda”
PFDPRO: 0.1 – 0.01
- t
e
= ½
SIL 1 – RRF: 10 a 100
SIL 2 – RRF: 100 a 1000
Tiempo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Rendimiento de un sistema durmiente
Arquitecturas de Seguridad – Votación
(de los ‘70s) Vs
Diagnostico
(Siglo XXI)
Inyección de
Falla Peligrosa
SISTEMA
Se convierte en …
PFDN
PFDD
Diagnóstico
PFS
PFDU
Disponibilidad
Nuevo Concepto:
Disponibilidad, PFDD, PFDU,
PFDN and PFS.
PFD = PFDD + PFDU + PFDN
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Rendimiento de un sistema durmiente
SimplePFD
Pro
= [
DD
* (MTTR + T IA / 2 ) ] + [
DU
* T IM / 2 ] + [
DN
* Life / 2 ] + [ TD / TIM ]
Donde:
CA = Factor de cobertura Diagnóstico Automático
CM = Factor de cobertura Diagnóstico Manual
DD = D * CA
DU = D * ( 1 - CA ) * CM
DN = D * ( 1 - CA ) * (1 – CM)
D = DD + DU + DN
Veamos …
Y
TIA = Tiempo entre Pruebas Automáticas
TIM = Tiempo entre Pruebas Manuales
TD = Duración de la prueba (en bypass)
MTTR = Tiempo Medio para Reparar
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 9
Luis Garcia / MP7
Ahora bien: ¿De donde sales estas tasa de falla?
1. Del Modelaje: FMEDA, Markov, Árbol de Fallas, Bloques de Confiabilidad, etc.
2. De la Experiencia: Datos de Campo.
¿En que confía Ud. más?
¿En modelaje BIEN desarrollado? ¿En Datos de Campo bien recolectados?
¿Cuáles son los chances de que una moneda caiga cara?
50%?
¿Cómo alcanzó esa conclusión?
¿lanzó Ud. un millón de monedas al aire? ¿Contó cuantas cayeron cara?
¿Entonces? ¿En que confía más?
Respuesta prudente: ¡En ambas!
1. Modelaje
Ruta 1H 2010
2. Ajuste Modelo a la experiencia de campo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
Nueva Ruta 2H 2010
Luis Garcia / MP7
Handout 5
Tasa de fallas Segura y Sin Efecto – ¿Abusos Estadísticos?
“hay tres clases de mentiras: Las Mentiras, Las grandes y
malditas mentiras y Las Estadísticas“
Primer ministro Británico Benjamín Disraeli parafraseando a Mark Twain
La estadística es un método de análisis matemático para
determinar el comportamiento de un “GRUPO” y NO un
“INDIVIDUO”
Si esto no se entiende bien, puede conducir a
abusos. En el caso de seguridad funcional de
procesos, con terribles consecuencias
Las Tablas de “Limitaciones Arquitecturales”, o de
“Tolerancia a Fallas”; actúan como redes de
seguridad contra tales abusos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 11
Luis Garcia / MP7
Tasa de fallas Segura y Sin Efecto – Las redes de seguridad 1H
Los estándares limitan estos abusos con las Tablas de Limitaciones Arquitecturales, que limitan el factor de
reducción de riesgo –RRF que puede reclamarse, basándose en Redundancia (Tolerancia a Fallas); Diagnostico
(Fracción Falla Segura) y el conocimiento que se tenga sobre el elemento bajo estudio ( Tipo)
Fraccion Falla Segura (SFF)
SFF = (
S
+
DD)/(
S+
DD+
DU)
para tasas de falla constantes
Tolerancia a Fallas (HFT)
SIL 1
En una arquitectura XooN
HFT= N-X
Ejemplos;
Para 1oo2
Para 2oo3
Para 1oo1
HFT = 1
HFT = 1
HFT = 0
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 12
Luis Garcia / MP7
Handout 6
Tasa de fallas Segura y Sin Efecto – Las redes de seguridad 1H
Los estándares limitan estos abusos con las Tablas de Limitaciones Arquitecturales, que limitan el factor de
reducción de riesgo –RRF que puede reclamarse, basándose en Redundancia (Tolerancia a Fallas); Diagnostico
(Fracción Falla Segura) y el conocimiento que se tenga sobre el elemento bajo estudio ( Tipo)
Elementos Tipo A
Todos los modos de falla están bien definidos
Se entiende su comportamiento
Hay suficientes datos históricos sobre sus tasas de falla
SIL 1
Elemento tipo B
Todos los modos NO se conocen
No se entiende su comportamiento 100%
Hay suficientes datos de sus tasas de falla
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 13
Luis Garcia / MP7
Tasa de fallas Segura y Sin Efecto – Las redes de seguridad 1H
SIL 1
Tolerancia a Fallas
Fracción Falla Segura
0
Tipo A
< 60 %
SIL 1
60 % - 90 %
SIL 2
1
Tipo B
No Permitido
SIL 1
2
Tipo A
Tipo B
Tipo A
SIL 2
SIL 1
SIL 3
Tipo B
SIL 2
SIL 3
SIL 2
SIL 4
SIL 3
90 % - 99 %
SIL 3
SIL 2
SIL 4
SIL 3
SIL 4
SIL 4
> 99 %
SIL 3
SIL 3
SIL 4
SIL 4
SIL 4
SIL 4
Máximo SIL Permitido – IEC 61508
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 14
Luis Garcia / MP7
Handout 7
Tasa de fallas Segura y Sin Efecto – Las redes de seguridad 1H
Los modelos estadísticos son como espías capturados
Si uno los tortura suficiente, dirán lo que sea (Curso ISA EC50SP)
Las fallas sin efecto (NE por sus siglas en Ingles - o “No Effect” Failures) introducían
imprecisiones al parámetro de SSF, porque al no ser “en demanda, eran parte de las
fallas seguras
Spurious
+
NE
+
DD
SFF =
Spurious
+
NE
+
DD
DU
3.6.14 – Fallas sin efecto (no effect failure - NE)
Falla de un elemento que forma parte de la Función Instrumentada de Seguridad, pero que no tiene efecto
en la misma.
Cuanto mas Fallas NE el equipo tenga, tendría un mejor valor de SFF en la versión 1998.
Se requería un ajuste en el 2010
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 15
Luis Garcia / MP7
Tasa de fallas Segura y Sin Efecto – Las redes de seguridad 1H
IEC61508
- 1998
DD
DU
S
IEC61508
Falla Segura: Una falla que no tenga el
efecto de colocar una Función
Instrumentada de Seguridad en un estado
Peligroso o de imposibilite su
funcionamiento.
In 1998
- 2010
DD
DU
S
NE era parte de
S
Falla Segura: Una falla que
favorezca la acción de paro
seguro.
NE
Now
NE is not part of
S
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 16
Luis Garcia / MP7
Handout 8
Tasa de fallas Segura y Sin Efecto – Ejemplo con 20%
IEC61508
NE
- 1998
DD= 30
SFF = 70% en 1998
DU= 30
S= 40
IEC61508
EL MISMO INSTRUMENTO
- 2010
DD=
30
DU= 30
SFF = 62.5% En 2010
S= 20
NE=
20
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 17
Luis Garcia / MP7
Tasa de fallas Segura y Sin Efecto – Mas precisión en SFF
SIL 1
SFF = (
A medida que
DU
S
+
DD
NE )
/(
0 (Alto Factor de Cobertura)
S
NE
NE
+
DD+
DU)
Tiene poco o ningún efecto
No el caso de los equipos de campo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 18
Luis Garcia / MP7
Handout 9
Influencia de la IEC61511 – Tablas de tolerancia a fallas
SIL 1
Mínima Tolerancia a Fallas del Hardware
SIL
SFF < 60%
SFF 60% to 90%
SFF > 90%
1
1
0
0
2
2
1
0
3
3
2
1
4
Siga la IEC 61508
Máximo SIL permitido para procesadores lógicos – IEC 61511
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 19
Luis Garcia / MP7
Influencia de la IEC61511 – Tablas de tolerancia a fallas
SIL 1
SIL
Minima Tolerancia a Fallas del Hardware
1
0
2
1
3
2
4
Siga la IEC 61508
Máximo SIL permitido para equipos de campo – IEC 61511
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 20
Luis Garcia / MP7
Handout 10
Influencia de la IEC61511 – Tablas de tolerancia a fallas
Las Tablas HFT de la IEC 61511 han sido el modelo a seguir en la Ruta 2H
SIL
Mínima Tolerancia a Fallas del Hardware
1
0
2
1
3
2
4
+
Uso Previo (Probado en Uso: HFT – 1)
( Proven-In-Use - PIU
IEC 61511)
Siga la IEC 61508
}
¿Probado?
IEC 61508 – 2010
2H
Tolerancia a Fallas del Hardware
Limitaciones
0
1
2
SIL 2
SIL 3
SIL 4
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 21
Luis Garcia / MP7
Influencia de la IEC61511 – ¿Data buena y limpia?
El Problema es la calidad de los datos de campo
Obstáculos
1. Equipos de campo son bienes menores y los datos
simplemente no son recolectados
2. No hay suficiente población
3. Medio ambiente cambia de sitio a sitio
4. La data se corrompe para balancear los resultados
5. No es una tarea primordial del usuario
6. IEC 61649 e IEC 60300
¿Son estos los
que cayeron
CARA?
¡¡Aha!! ¡Y unos cuantos
más que perdimos…!
Instrument Reliability Network (IRN) en Texas A&M (MKOPSC).
Referenciar el rendimiento de instrumentación en aplicaciones de proceso.
Definir una taxonomía común para respaldar la actividad de recolección consistente de datos de buena
calidad de los departamentos de mantenimiento y actividades que envuelvan pruebas funcionales.
Compartir las lecciones aprendidas para mejorar la confiabilidad en los instrumentos y equipos de control
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 22
Luis Garcia / MP7
Handout 11
Influencia de la IEC61511 – Buenas Noticias
Sabemos de corporaciones multinacionales que han estado
recolectando data desde el 2001. Texas Instrumentation Symposium
¿Son estos los
que cayeron
CARA?
2013
1.
2.
3.
4.
5.
Han afinado la taxonomía - Recolectan data con programas y software propietarios
Tienen población en el orden de decenas de miles
Operan en diferentes ambientes - Globales
Expertos centralizan el análisis de datos
Un equipo corporativo dedicado 100%
¡¡Aha!! ¡Y unos cuantos
más que perdimos…!
NAMUR
NAMUR es una asociación internacional de usuarios (no incluye fabricantes de equipos) para la
automatización en la industria de procesos. Los mismos han estado recolectando data en SIF desde el 2001
1.
2.
3.
4.
Están cambiando ahora de SIF a equipos individuales
Población en el orden de los cientos de miles
Varios ambientes alrededor del planeta
Análisis de datos centralizado en manos de expertos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 23
Luis Garcia / MP7
IEC 61508 para nuevos instrumentos
¿Significa todo lo anterior que no es posible certificar para aplicaciones criticas nuevos
diseños de instrumentación?
La respuesta puede estar en la forma en que se certifica
los programas y el Software hoy en día
La primera fuente de errores es la metodología de diseño:
> 80% de las fallas son atribuibles a las practicas de diseño
La buena calidad de las practicas de diseño (como en el caso del software) puede ser
consideradas mas efectivas que el tratar de predecir cuantitativamente el rendimiento de
nueva tecnologías aplicadas a la instrumentación de campo de una SIF.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 24
Luis Garcia / MP7
Handout 12
Conclusión
1. La nueva definición de Falla Segura ha hecho el estándar mas preciso y resistente a los
abusos.
2. La Ruta 2H no debe propagarse a la nueva IEC 61511, pues crearía confusión. El concepto
de PIU es suficientemente solido.
3. Algunos usuarios se están moviendo hacia el soporte de la selección de equipos de campo
basados en experiencia solida de campo. Pareciera que estos usuarios están dispuestos a
compartir sus experiencias para el bien colectivo en asociaciones tales como “The
Instrument Reliability Network (IRN)” en Texas A&M (MKOPSC) o “NAMUR”
4. Nuevas filosofías de desarrollo de nuevos instrumentos de campo se están discutiendo,
donde existe diagnostico limitado pero un muy buen entendimiento de sus modos de falla
(equipos tipo A o muy simples tipos B con, al menos 60% de factor de cobertura
automática en el diagnostico)
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 25
Luis Garcia / MP7
Handout 13
Guía de identificación de Funciones Instrumentadas de seguridad
(SIF) en Sistemas de Supervisión de Quemadores (BMS)
Explicación del Reporte técnico ANSI/ISA TR84.00.05
Por Luis Garcia
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Answers for industry.
¿Como llama Ud. a su BMS?
• Sistema de Seguridad del Quemador
• Sistema de control del Quemador
• Protección de combustión
• Sistema de Seguridad de llama
• Sistema de Paradas de Emergencia
• Protección del Horno
• Protección de la Caldera
• ¿..?
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 2
Luis Garcia / MP7
Handout 1
Definición de un BMS en los 90‘s
Un BMS (por sus siglas en Ingles - Burner
Management System) es un equipo que
monitorea/controla un EQUIPO QUE
QUEME COMBUSTIBLE, durante su
arranque, parada y/o condiciones
transitorias
OBJETIVO
Prevenir arranques en condiciones inseguras.
Prevenir condiciones operativas inseguras así como la introducción de combustible en cantidades inapropiadas al/los
quemador/es
Proveer de información de estatus al operador
Iniciar condiciones de operación segura o parada dependiendo del estado de seguridad
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 3
Luis Garcia / MP7
Definición de un BMS hoy en día
El BMS es un sistema de control dedicado a asegurar la COMBUSTION SEGURA y la ASISTENCIA
AL OPERADOR en el arranque y parada de equipos de preparación y quema de combustible para
prevenir operaciones inseguras.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 4
Luis Garcia / MP7
Handout 2
Generalidades de un equipo de Combustión
¡Claro Jefe…!
Rocas
¡Préndelo ahora …!
Aire
Caliente
Aire
Frio
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 5
Luis Garcia / MP7
Ejemplo: NFPA 85 Componentes de una Caldera
Tipos de Calderas:
Pirotubulares
Acuotubulares
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 6
Luis Garcia / MP7
Handout 3
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 7
Luis Garcia / MP7
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 8
Luis Garcia / MP7
Handout 4
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 9
Luis Garcia / MP7
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 10
Luis Garcia / MP7
Handout 5
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 11
Luis Garcia / MP7
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 12
Luis Garcia / MP7
Handout 6
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 13
Luis Garcia / MP7
Ejemplo: NFPA 85 Componentes de una Caldera
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 14
Luis Garcia / MP7
Handout 7
Ejemplo: NFPA 85 Componentes de una Caldera
Demanda de fuego basado en requerimientos de vapor
Control de Combustión
Control de Caudal de Combustible
Control de Caudal de Aire
Tiro en el Hogar
Control del Ventilador (ID)
Nivel de agua en el Domo
Control Alimentación de Agua
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 15
Luis Garcia / MP7
Causas de Implosiones y Explosiones de Hornos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 16
Luis Garcia / MP7
Handout 8
La clave es operación y mantenimiento correcto
Porcentage
4% 8%
23%
2%
0%
2%
61%
Fuente: AIS accident database
Human Errors
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 17
Luis Garcia / MP7
Problemas con las estrategias de control
Reporte Anual 2008
Categoria
Numero de Violaciones
% de Violaciones sobre
el total
Control de La Caldera
Tuberia de La Caldera y Otros sistemas
Datos de fabricacion de la Caldera/Placa
Componentes de La Caldera
Sistemas de Alivio de Presion de La Caldera
Domo
Reparaciones y alteraciones
27.202
17.510
1.829
35
22
2
10.028
12.239
8.600
13
16
11
665
1
11
1
35%
35
16
13
2
22
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 18
Luis Garcia / MP7
Handout 9
Causas Básicas de Explosión de Hornos
Las explosiones en Hornos y Calderas ocurren cuando una fuente de ignición encuentra
combustible acumulado en el hogar, los ductos y pasajes asociados o el ventilador
Posibles causas pueden ser:
Interrupción de combustible
Re-arranque inapropiado
Interrupción del aire primario
Interrupción de la ignición
Acumulación o demora en fuente de ignición
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 19
Luis Garcia / MP7
Causas Básicas de Explosión de Hornos
COMBUSTION
Cuando el combustible y el aire se
mezclan proporcionalmente, se aplica
una fuente de ignición y se controla
apropiadamente: Producimos energia
Pero si la mezcla no es
proporcional y controlada
apropiadamente:
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 20
Luis Garcia / MP7
Handout 10
Problemas especiales de los Quemadores de Aceite
Pequeñas fugas pueden crear incendios
Requieren precalentamiento para disminuir viscosidad
Agua y barro en los tanques tapan las tuberías
Gran variedad con diferentes características (de un solo o múltiple
proveedores)
Muchas calderas están diseñadas para Gas y Aceite (gasoil)
Baja conductividad genera cargas electroestáticas
No comprimible genera picos de presión
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 21
Luis Garcia / MP7
Problemas especiales de los Quemadores de Gas
El Gas es incoloro
Peligros potenciales en espacios cerrados (edificios)
Difícil detectar carburación defectuosa (Relación Aire/Gas)
Gas seco y húmedo
Diferentes características de diferentes fuentes
Descargas de válvulas de alivio y purgas
Mantenimiento y reparación de tuberías
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 22
Luis Garcia / MP7
Handout 11
Problemas especiales de los Quemadores de Carbón
Una pequeña cantidad suficiente para formar una mezcla
explosiva
El carbón necesita mucho procesamiento
Gas metano se libera
Carbón crudo contiene impurezas
Polvo de carbón de transporta con bandas
Los pulverizadores pueden explotar
El pulverizador debe estar integrado muy bien con el quemador
Hay que ecualizar la velocidad del aire de transporte con el
primario
Se necesita que el carbón este seco
Difícil el medir el combustible
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 23
Luis Garcia / MP7
¿Qué pasa si el BMS falla?
Antecedentes:
KCPL, Hawthorn Station Caldera 5
Construida en 969, por CE (Combustion
Engineering). Fuego tangencial con Gas
natural de bajo contenido de azufre, y tambor
de carbón de bajo poder calorífico; con
turbinas de 476 MW marca G.E.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 24
Luis Garcia / MP7
Handout 12
Secuencia de eventos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 25
Luis Garcia / MP7
Resultado
El Jurado devolvió un veredicto a favor de KCPL
por US$ 452,000,000 en daños.
Estimaron culpable al fabricante del PLC en un
30% y a KCPL en un 70%
El juicio terminó a favor de KCPL por la cantidad
de US$ 190,867, en vez de los 135 Millones
originales por razones de responsabilidad limitada.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 26
Luis Garcia / MP7
Handout 13
Estándares en Supervisión de Quemadores (BMS)
Toda especificación tiene dos
componentes que responden a:
1.
2.
¿Qué hay que hacer?
¿Qué tan bien hay que hacerlo?
Después de nuestro mas reciente análisis del
jardín de los Gonzalez, es evidente que
necesitamos revisar nuestros procedimientos
de seguridad
Correa
Vieja
1.
2.
Estándares prescriptivos
Estándares basados en rendimiento
Correa
Nueva
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 27
Luis Garcia / MP7
Estándares prescriptivos para BMS
NFPA 85
Boiler and Combustion Systems Hazards Code - 2011
NFPA 86
Standard for Ovens and Furnaces - 2011
NFPA 87
Recommended Practice for Fluid Heaters - 2011
API 556
Recommended Practice Instrumentation, Control, and
Protective Systems for Gas Fired Heaters
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 28
Luis Garcia / MP7
Handout 14
Estándares (y guías) para BMS basados en rendimiento
FM 7605, Approval Standard for
Programmable Logic Control (PLC) Based
Burner Management Systems
ISA TR 84.00.05 (technical report) Guidance on
the identification of safety instrumented functions in
burner management systems
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 29
Luis Garcia / MP7
Ejemplo de requerimientos NFPA (85/86) para enclavamientos
Monitoreo del flujo de Aire
• Detecta y corrige ejecución de purga
• Detecta flujo de aire equivocado tanto en arranque como en operación estable
Monitoreo de llama
• Perdida de o Falla a establecer Llama
• Verifica estabilidad de llama en operación estable
Monitoreo de temperatura
• Monitoreo de temperatura en el hogar
• En algunos casos se usa para disparar
• Elimina la necesidad de re-purgar en disparos cortos
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 30
Author
Luis Garcia / MP7
Handout 15
Cumplimiento con los estándares NFPA
Anexo explicativo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 31
Luis Garcia / MP7
Reporte Técnico ISA
ISA-TR84.00.05 - 2009
Es una guía sobre peligros asociados con equipos de llama
Específicamente tiene los siguientes ejemplos de aplicación:
NFPA 85 Caldera de Vapor
NFPA 86 Oxidante Térmico
API 556 Calentador de Proceso
API 14C Calentador de Petróleo
API 14C Recalentador de Glicol
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 32
Luis Garcia / MP7
Handout 16
Reporte Técnico ISA
Los casos y ejemplos en este reporte tienen como fin suplementar los requerimientos de
buenas practicas de ingeniería aplicables a estándares en BMS tales como NFPA 85, NFPA
86, API 556, ASME CSD-1, and API RP 14C
Usuarios del TR84.00.05 incluyen:
Fabricantes de Quemadores, Calderas, Hornos etc.
Equipos de análisis de riesgos
Diseñadores de SIS
TR demuestra como las clausulas 8 y 9 de la ANSI/ISA-84.00.01-2004 puede ser aplicada a las
Funciones Instrumentadas de Seguridad de un BMS
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 33
Luis Garcia / MP7
Modos de Operación y Peligros asociados
Sección 6 del ciclo de vida y los conceptos de proteccion
1. Ciclo de PRE-ignición
2. Camino a el arranque cuando los permisivos no son satisfechos
3. Ciclo de arranque
4. Operación Normal
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 34
Luis Garcia / MP7
Handout 17
Ejemplo: Caldera de un solo quemador
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 35
Luis Garcia / MP7
Ciclo de Pre-encendido
Evento Indeseable
Descripción de las
consecuencias
Perm. (P)
Disp. (D)
Causa(s)
Condición
Anormal
Detectable
Acción tomada
Exceso de vapores
de combustible en
la cámara de
ignición
Potencialmente
inflamable o explosivo
según la mezcla.
Daños a la caldera con
posible impacto al
personal operando en la
zona
P
Válvulas de
combustible mal
alineadas
Válvula a medio
cerrar.
Contactos de
final de carrera
no han
demostrado
posición
Inhibir el
arranque y sus
pasos en el
ciclo de
arranque
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 36
Luis Garcia / MP7
Handout 18
Encendido
Evento Indeseable
Descripción de las
consecuencias
Perm. (P)
Disp. (D)
Causa(s)
Condición
Anormal
Detectable
Acción tomada
Exceso de vapores
de combustible en
la cámara de
ignición
Potencialmente
inflamable o explosivo
según la mezcla.
Daños a la caldera con
posible impacto al
personal operando en la
zona
D
Falla en la generación
de llama en el piloto
– Falla del
transformador o en
las válvulas del piloto,
quemador obturado,
combustible
contaminado, mezcla
aire/ combustible
inadecuada.
Presencia de llama
no es probada
dentro del limite de
tiempo especificado
Cierre de
válvulas de
combustible al
piloto
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 37
Luis Garcia / MP7
Operación Normal
Evento Indeseable
Descripción de las
consecuencias
Perm. (P)
Disp. (D)
Causa(s)
Condición
Anormal
Detectable
Acción tomada
Pérdida de agua en el
domo superior
Posible daños mecánicos a
la tubería de agua si se
continua el calentamiento
sin la presencia de agua
para remover calor. Daños
mecánicos a la caldera con
posible impacto al personal
operando en la zona
D
Perdidas de agua de
alimentación a la
caldera; daños al
sistema de vapor
(como fugas por
pinchaduras en los
tubos; falla de
interruptores de nivel
en el domo / sistema
básico de control de
proceso
Bajo nivel en el
domo
Cierre de las
válvulas del
quemador
principal y del
piloto
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 38
Luis Garcia / MP7
Handout 19
Operación Normal
Evento Indeseable
Descripción de las
consecuencias
Perm. (P)
Disp. (D)
Causa(s)
Condición
Anormal
Detectable
Acción tomada
Exceso de vapores
de combustible en
la cámara de
ignición
Potencialmente
inflamable o explosivo
según la mezcla.
Daños a la caldera con
posible impacto al
personal operando en la
zona
D
Baja presión de gas,
perdidas de
suministro de gas o
fallas en la válvula de
control de Gas/Gasoil
Baja presión de gas
o perdida de llama
Cierre de
válvulas
principales al
quemador
principal y al
piloto
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 39
Luis Garcia / MP7
Ejemplos de severidad
Nivel de Impacto
Consecuencias
Frecuencia
Daños menores al equipo. Sin parada del proceso .
Daños temporales al personal y al ambiente.
< 10-2 por Año
Serio
Daños al equipo. Parada corta del proceso.
Daños serios al personal y el ambiente
< 10-3 por Año
Extenso
Daños en gran escala al equipo. Parada del proceso. Consecuencias catastróficas
para el personal y el ambiente.
< 10-4 por Año
Menor
IEC61511 Part 3 Table C-2
CUIDADO
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 40
Luis Garcia / MP7
Handout 20
Ejemplos de eventos iniciantes
Evento Iniciador
Frecuencia Tipicas (F)
Falla en el regulador
1/10 Años
10-1
Perdida de energía eléctrica (fuentes redundantes)
1/10 Años
10-1
Error Humano (rutina, una vez por mes por oportunidad)
1/10 Años
10-1
Error Humano (no rutinario / sin estrés)
1/10 Años
10-1
Fallas en el sistema básico de control de proceso (uso continuo)
1/10 Años
10-1
Otras frecuencias pueden ser seleccionadas basadas en el análisis de los datos operativos que incluyan, por supuesto, factores de
servicio.
CUIDADO
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 41
Luis Garcia / MP7
Ejemplo de matriz de riesgo
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 42
Luis Garcia / MP7
Handout 21
Resultados de la Verificación
Ítem
1
Sensor
PSLL-518
Sensor
Votación
CPU
1oo1
SPLC
Elemento
Final
Votación
Elemento
Final
Prueba
UV-515
UV-517
1oo2
12 Meses
SIL
Alcanzado
Funcional
1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 43
Luis Garcia / MP7
SIL Verification Results
Ítem
Sensor
Sensor
Votación
CPU
Elemento
Final
Votación
Elemento
Final
Prueba
SIL
Alcanzado
Funcional
1
PSLL-518
1oo1
SPLC
UV-515
UV-517
1oo2
12 Meses
1
2
BSLL-512
1oo1
SPLC
UV-515
UV-517
1oo2
12 Meses
1
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 44
Luis Garcia / MP7
Handout 22
SIL Verification Results
Ítem
Sensor
Sensor
Votación
CPU
Elemento
Final
Votación
Elemento
Final
Prueba
SIL
Alcanzado
Funcional
1
PSLL-518
1oo1
SPLC
UV-515
UV-517
1oo2
12 Meses
1
2
BSLL-512
1oo1
SPLC
UV-515
UV-517
1oo2
12 Meses
1
3
PSLL-518
BSLL-512
1oo2
SPLC
UV-515
UV-517
1oo2
12 Meses
2
CUIDADO
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 45
Luis Garcia / MP7
Ejemplos en el reporte ISA TR 84.00.05
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 46
Luis Garcia / MP7
Handout 23
Ejemplos en el reporte ISA TR 84.00.05
Use los
ejemplos de
aplicacion del
reporte ISA.
Aquí es donde
ocurre un milagro
.. … Y entonces
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 47
Luis Garcia / MP7
En suma
Estándares, tales como la NFPA 85 cubre la mayoría del ciclo de vida de seguridad
funcional de un BMS:
Diseño
Instalación
Operación
Mantenimiento
Para ello el estándar nos refiere a otros basados en rendimiento como la IEC61508, IEC 61511 o
ANSI/ISA 84.00.01 – 2004
En dicho caso, todas las FIS son consideradas en dos grupos:
Enclavamientos: Relación/ condición: Acción tomada para llevar el horno a una condición segura
Permisivos: Grupo de condiciones secuenciales que deben ser cumplidas en orden estricto: Por
ejemplo, después que el hogar ha sido purgado apropiadamente, se permite el proceso de
encendido (siempre y cuando no se detecte llama adentro del mismo.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 48
Luis Garcia / MP7
Handout 24
BMS 400 – Solución PRE-Ingeniada
BMS 400F
Configuraciones
(contenido)
CPU
Small
Medium
412FH
414FH
LARGE
414FH
Módulos
Canales
Módulos
Canales
Módulos
FAI
2
12
6
36
8
48
FDI
1
24
3
72
3
72
FDO + Relay MTA
1
10
3
30
4
40
FDO
0
0
3
30
3
30
Total Módulos/Canales
4
46
15
168
18
I/O MTA's
NO
NO
Canales
190
YES
E/S Redundantes
NO
NO
NO
Espacios de Rieles
200
720
880
Descripción de las configuraciones:
Small – 412HF como CPU, E/S simples, Conector frontal, 1 MFT relay MTA
Medium – 414HF como CPU, E/S simples, Conector frontal (con riel DIN adicional para terminales de terceros, 3 MFT relay MTA.
Large – 414HF como CPU, E/S simples, con MTA.
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 49
Luis Garcia / MP7
BMS 400 – Solución PRE-Ingeniada
Cumple con los estándares prescriptivos
Con rendimiento combinado SIL 3
Con arquitectura PCS7
Restricted © Siemens Industry, Inc. 2014 All rights reserved.
Page 50
Luis Garcia / MP7
Handout 25
Related documents
ima4e testing program l02 optional testing sections
ima4e testing program l02 optional testing sections
Both Spanish and English use the present progressive, which
Both Spanish and English use the present progressive, which
Download
advertisement