Secuencia Automática de Permisivos: Un requerimiento de la seguridad integra

Las razones para inhibir (baipás) sistemas de seguridad durante arranques, paradas o interrupciones en el proceso, NUNCA elimina los peligros inherentes en hacerlo. Y sin embargo ocurre muy a menudo. Con el advenimiento de herramientas automáticas para gerenciar estos procesos en forma segura, seguir estas rutas manuales se hace realmente innecesario.

Fallas en la seguridad funcional de procesos son trágicas y costosas. A pesar de que incidentes como el de la refinería de BP de Texas City en el 2005 son, gracias a Dios, raras, existe un factor común a todas ellas: Los incidentes ocurrieron cuando el proceso estaba en estado transitorio. En el caso de BP, ocurrió durante el arranque de la unidad de isomerización.

En un esfuerzo por evitar y combatir tales incidentes, y ayudar a minimizar los riesgos del proceso, logrando así que más instalaciones operen en forma segura, muchas plantas han adoptado el concepto de seguridad funcional, abrazando estándares de seguridad funcional de proceso tales como la ANSI/ISA 61511, 2018 (IEC 61511, 2016). Sin embargo, la implementación se ha limitado a proteger operaciones en estado estable, y raramente se ha extendido a funciones de protección durante arranques, paradas o transiciones dinámicas. En estos casos la secuenciación es hecha casi exclusivamente en forma manual, a pesar de reconocerse abiertamente que estas son las operaciones más peligrosas. En esos críticos momentos, las funciones instrumentadas de seguridad (FIS) son suspendidas (baipaseadas), inhibidas y las instalaciones se colocan en manos de un equipo especializado de operadores que realizan estas volátiles operaciones. Y, sin embargo, el elemento humano no es capaz de reproducir la calidad y certeza de un Sistema Instrumentado de Seguridad (SIS). Entonces, ¿por qué es el SIS neutralizado? ¿Por qué la secuencia de los permisivos que se requieren para arrancar la planta no es automatizada, cuando la tecnología moderna ofrece la forma de manejar dicha secuenciación en forma apropiada?

Protección Automatizada

Estándares basados en rendimiento, tales como IEC 61511, ayudan y facilitan que los SIS trabajen de forma segura. La idea es agregar una capa de protección que lleve la planta a una condición segura en caso de producirse aberraciones en el proceso. Estos estándares clasifican los sistemas de acuerdo con las probabilidades estadísticas promedio de que los mismos fallen cuando se necesiten, o en demanda. Dicha clasificación de rendimiento se basa en niveles discretos llamados Niveles Integrales de Seguridad Funcional o SIL por sus siglas en inglés¹. SIL 2, por ejemplo, asegura que en un sistema con entre 100 y 1.000 funciones instrumentadas de seguridad, se espera que solo una función instrumentada de seguridad falle en el periodo entre inspecciones y/o actividades de mantenimiento.

Figura 2

Esta optimización del rendimiento de seguridad es alcanzada bien sea por redundancia (recursos redundantes votan sobre una resolución) o por diagnóstico (que protege las salidas una vez se detecta una falla en demanda). Con la posibilidad de alcanzar estos y mayores niveles de rendimiento es obvio que las máquinas pueden asegurar rendimientos que los humanos nunca podrán alcanzar pues están sometidos a distracciones, fatiga y otros factores complejos.

Sugerimos entonces que “es imposible predecir cuándo un humano va a fallar”. Y poner en manos de los estadísticamente menos confiables humanos la seguridad de la planta en el momento más peligroso en las operaciones de esta, no es una decisión muy inteligente.

Los humanos no pueden alcanzar una probabilidad por oportunidad mayor a 1 en 10 de tomar una decisión acertada estando bajo presión. Lo que equivaldría a limitar la función de protección a un SIL 1. Si uno ha determinado que para tal protección se requiere una reducción de riesgo de tres órdenes de magnitud (SIL 3), ¿Por qué habría de aceptarse tan dramático aumento del riesgo exactamente en el momento más peligroso?

Procedimientos Estándar

Estamos convencidos que los métodos manuales deben ser abandonados y de que las secuencias permisivas deben de ser automatizadas. Ya existen herramientas como SIMATIC Safety Matrix que permiten automatizar los permisivos conservando el rendimiento en seguridad funcional. Su justificación se basa en:

1. Si bien las transiciones de proceso son infrecuentes y de corta duración, estos son los momentos más volátiles en la operación, y no es el momento de depender de una capa de protección menos confiable puesto que es cuando existe alta demanda.
2. Es verdad que la falta de similitud entre procesos incrementa la dificultad de utilizar un SIS para transiciones, pero ¿por qué tendría que ser más fácil el tomar una decisión adecuada para el operador? La falta de similitud es precisamente una poderosa razón para automatizar, pues se diseña la óptima manera de operar, sin presión y por adelantado.
3. No es inteligente confiar en la subjetividad y el criterio del operador en estos momentos, sino antes de iniciar el proceso. ¡Por supuesto, programadores y operadores deben hablar el mismo lenguaje! SIMATIC Safety Matrix facilita este proceso, pero el hecho de que sea difícil no justifica el sacrificar seguridad.
4. Las transiciones y secuencias dinámicas hacen del temporizado de cada paso y cambios en los enclavamientos un factor crítico. Exactamente, “el comportamiento dinámico” del proceso es la razón fundamental por la cual debe de ser automatizado. A pesar de ser difícil el validar y verificar sin conocimiento operacional detallado y rutinas de simulación apropiada, debe entenderse que: si puede ser documentado en un Manual de Operaciones, puede definitivamente ser programado en un PLC de seguridad.
5. Nótese que arranques y paradas automatizadas se realizan todo el tiempo en calderas y hornos en la supervisión de quemadores², siguiendo estándares más prescriptivos como NFPA (Nacional Fire Protection Association) 85 y 86. Secuenciación automática de permisivos son utilizados para arrancar una caldera u horno en forma controlada sin comprometer la seguridad funcional.

   
   

Durante todo el ciclo de vida, los SIL de cada FIS deben ser mantenidos, y a menos que todas las fases sean automatizadas los sistemas no cumplen con la normativa. Si se puede hacer para un BMS, se debe de poder implementar en toda la aplicaron.

Se requiere conocimiento sobre el proceso y operaciones

Por supuesto que el definir permisivos automáticos no es sencillo, pero es muy posible. Se requiere un conocimiento profundo del proceso, así como de operaciones. Se requiere también de un juego de herramientas que permita simplificar el desarrollo e implementación de secuencia automática de permisivos y que incluya métodos de validación y verificación según se pide en la IEC 61511 en su cláusula 6.3, por medio de la simulación, tal como, SIMATIC Safety Matrix corriendo en SIMIT.

Figura 3

Con SIMATIC Safety Matrix se puede configurar una lógica de seguridad dinámica, que permite arranque y paradas que pueden ser simuladas de acuerdo con los requerimientos regulatorios. SIMATIC Safety Matrix es un paquete de software, que utiliza una matriz dinámica de causas y efectos para documentar requerimientos específicos de Seguridad (SRS por sus siglas en Inglés), hace de puente comunicacional entre “operaciones” y el equipo de diseño del SIS, configura automáticamente el sistema y permite cambios dinámicos de requerirse, además de validar, facilitar la verificación y liberar la documentación necesaria.

Herramientas como esta, enfatizan el hecho de que el automatizar FIS durante transiciones es posible y deseable, ya que la secuenciación automática de permisivos se puede lograr en todas las fases de la seguridad funcional del proceso. Además de generar el código en el controlador en forma automática, y así evitar errores sistemáticos, la matriz genera reportes de verificación y validación.

Las figuras 1, 2 y 3 nos muestran las fases de una matriz de un reactor de secado, donde se generan permisivos mientras la reacción alcanza la temperatura adecuada. La figura 1 muestra cómo se permite una alineación de válvulas por 600 segundos (10 minutos) para que la reacción de secado alcance los 150 grados Fahrenheit en una votación 4 de 6 sensores de temperatura (4oo6). De no ser así, el proceso se aborta. La figura 2 muestra como una vez alcanzada estabilidad, los permisivos esperan por 30 segundos de estabilidad antes de alinear las dos últimas válvulas. La figura 3 muestra el sistema estable en línea.

1 Safety Integrity Level - SIL

2 (BMS – Burner Management System)

Luis M. F. Garcia G. 

consultor en seguridad funcional de procesos en Siemens    

Este artículo aparece publicado en el nº 539 de Automática e Instrumentación págs. 52 a 54.