La seguridad funcional como pilar clave en la industria conectada

En un ecosistema productivo industrial cada vez más interconectado, la seguridad funcional se ha convertido en una prioridad esencial para garantizar la continuidad operativa y la protección de las personas, de las propias infraestructuras y, por supuesto, del medioambiente. La integración de tecnologías avanzadas y la creciente complejidad de los sistemas industriales exigen un enfoque riguroso y sistemático para mitigar riesgos y prevenir incidentes. De ello nos hablan en este informe expertos de Pilz y Emerson, quienes detallan, entre otras cuestiones, cómo los estándares internacionales y el uso de tecnologías avanzadas pueden mitigar riesgos y mejorar la seguridad en la industria.

PREGUNTAS

1.- Explique brevemente cuáles son los aspectos básicos del ciclo de vida de seguridad de los activos.

2.- ¿Cuáles son los estándares europeos y americanos de aplicación al respecto?

3.- ¿Cuáles son los requisitos clave para el diseño de sistemas instrumentados de seguridad (SIS)?

4.- ¿Qué es el nivel de integridad de seguridad (SIL) y cómo se verifica?
 

Daniel Martín, Innovation & Marketing Manager de Pilz España y Portugal | Competence Centre Robotics Manager

1.- Por seguridad funcional se entiende la seguridad que depende del funcionamiento correcto de un sistema de mando.

La estimación de riesgo tiene una función central por lo que respecta a los requisitos de seguridad funcional. En la norma EN ISO 12100 se describen los pasos que deben tenerse en cuenta para la estimación y la reducción de riesgos de las máquinas. La evaluación y verificación de las funciones de seguridad se detalla en las normas EN ISO 13849 y EN IEC 62061, estableciéndose como requisito que la medida técnica de protección requerida dependa de un sistema de control. Los requisitos de integridad de la seguridad (PL, SIL) se desprenden de la estimación de riesgos.

El ciclo de vida sería el siguiente:

1. Análisis de riesgos: Identificar y evaluar los posibles riesgos asociados con los activos para determinar las medidas de seguridad necesarias.
2. Especificación de requisitos de seguridad, concepto de seguridad: Donde se definen los requisitos de seguridad funcional basados en el análisis de riesgos de la planta o la instalación. Determinamos soluciones, medidas correctoras y aspectos generales para disminuir o eliminar los riesgos detectados.
3. Diseño y desarrollo: Implementar los requisitos de seguridad en el diseño y desarrollo de los activos. Esta fase implica la gestión del proyecto a nivel de ingeniería de seguridad, recopilando la información del análisis de riesgos y del concepto de seguridad para implementar las medidas en campo.
4. Validación y verificación: Asegurar que los activos cumplen con los requisitos de seguridad a través de pruebas funcionales y evaluaciones sistemáticas y procedimentadas a lo largo del uso del equipamiento. En esta fase se verifica que las medidas correctoras aplicadas son válidas y suficientes.
5. Operación y mantenimiento: Monitorear y mantener los activos para garantizar que continúen cumpliendo con los requisitos de seguridad durante su vida útil.
6. Gestión de cambios: Evaluar y gestionar cualquier cambio en los activos que pueda afectar su seguridad funcional; los equipos de seguridad tienen un tiempo de misión determinado y finito. Pasado este tiempo, no se puede garantizar que se mantengan sus niveles de seguridad y, por lo tanto, se deberán reemplazar.
7. Desmantelamiento: Planificar y ejecutar el desmantelamiento seguro de los activos al final de su vida útil.

Estos pasos ayudan a garantizar que los activos sean seguros y cumplan con los estándares de seguridad funcional a lo largo de su ciclo de vida.

2.- La seguridad funcional tiene por objeto proteger a las personas y las máquinas frente a los peligros. En Europa, las normas sobre seguridad funcional en la construcción de máquinas se recogen en la Directiva de Máquinas.

Estándares europeos:

1. EN ISO 13849-1: Esta norma se centra en la seguridad de las partes de los sistemas de control relacionadas con la seguridad. Es aplicable a todos los tipos de tecnologías de sistemas, incluidos los productos mecánicos, hidráulicos y neumáticos.
2. EN IEC 62061: Esta norma aborda la seguridad funcional de los sistemas eléctricos, electrónicos y electrónicos programables (E/E/PE) en maquinaria. Es una implementación específica de la IEC 61508 para maquinaria.
3. Directiva de Máquinas 2006/42/CE: Esta directiva establece los requisitos esenciales de seguridad y salud para el diseño y fabricación de máquinas en la Unión Europea.

Estándares americanos:

1. IEC 61508: Aunque es una norma internacional, es ampliamente adoptada en América. Define los requisitos para la seguridad funcional de los sistemas eléctricos, electrónicos y electrónicos programables.
2. IEC 61511: Esta norma se aplica a los sistemas instrumentados de seguridad (SIS) en la industria de procesos, como la producción de petróleo y gas, productos químicos y farmacéuticos.
3. ISA 84.00.01-2004 (ISA S84): Esta norma, desarrollada por la International Society of Automation (ISA), se alinea con la IEC 61511 y se centra en la seguridad funcional de los sistemas instrumentados de seguridad en la industria de procesos.

3.- Los requisitos clave para el diseño de sistemas instrumentados de seguridad pasan por el cumplimiento de las normas y los estándares internacionales aplicables; la IEC 61508 y la IEC 61511 suelen ser los pilares clave para establecer los requerimientos de seguridad funcional para los sistemas eléctricos, electrónicos y programables que se van a emplear.

Una vez consideradas las normas anteriores, debemos determinar el ciclo de vida del SIS. El diseño debe considerar todo el ciclo de vida del sistema, que incluye apartados relevantes como la especificación, el diseño, la instalación, la validación, la operación y el mantenimiento del mismo.

Asimismo, es esencial realizar un análisis de riesgos para identificar los peligros potenciales y asignar el correspondiente nivel de integridad de seguridad (SIL). También debemos tener en cuenta que cada industria tiene sus propios riesgos y requerimientos específicos, por lo que el diseño del SIS deberá adaptarse a estas necesidades peculiares.

Para finalizar, se debe realizar un documento de especificación de Requisitos de Seguridad (SRS). Este documento debe ser claro, consistente y completo para no dejar lugar a dudas o interpretaciones, de forma que se definan los requisitos generales, funcionales y de integridad del SIS.

4.- Todos los riesgos que exigen un sistema de mando relativo a la seguridad, requieren una estimación del riesgo y definir la reducción del riesgo (SIL) asociada al sistema de mando. El riesgo asociado a la función de seguridad se estima tomando en consideración los siguientes parámetros según IEC 62061:

• Gravedad de la lesión (S)
• Frecuencia y duración de la exposición al peligro (F)
• Probabilidad de que se produzca un suceso peligroso (W)
• Posibilidad de evitar o de limitar el daño (P)

El Nivel de Integridad de Seguridad (SIL) es una medida cuantitativa que indica la efectividad de un sistema en términos de seguridad. Se utiliza principalmente en industrias como la petroquímica, la generación de energía, etc., para evaluar y gestionar los riesgos asociados a los procesos industriales.

Los SIL se dividen en cuatro niveles, del SIL 1 al SIL 4, siendo el SIL 4 el más alto y el que proporciona el mayor grado de reducción de riesgo.

EJEMPLO: Un peligro con las especificaciones S = 3, F = 4, W = 5 y P = 5 se calcula según la fórmula: Cl = F + W + P = 4 + 5 + 5 = 14

Según esta tabla, se asignaría a la función de seguridad que ha de reducir el peligro especificado el grado SIL 3 o PL e.

Fernando Miguélez, Industry Manager, y Anna Oliva,Safety and Integrity BDM de Emerson

1.- Las plantas de proceso no son seres vivos. Y aunque, al igual que estos, también nacen, viven unos años y finalmente mueren, su existencia depende de seres humanos, y por tanto están sujetas a sufrir errores en cualquiera de esas fases.

El ciclo de vida de seguridad de activos está formado por unos procedimientos que pretenden reducir esos errores para que no causen daños. En especial, se centra en la protección de las personas, el medioambiente y la supervivencia financiera de la planta.

Se pueden hacer plantas más seguras mediante modificaciones en el diseño de la producción, pero muchas veces eso no es posible. Cuando ya se han estudiado todas las posibilidades y es bien sabido que habrá riesgos en el proceso (llamados riesgos inherentes), solo nos queda protegernos de ellos, normalmente instalando equipos adicionales (sistemas instrumentados de seguridad, SIS) que detecten los peligros y actúen antes de que el daño se produzca.

El ciclo de vida de seguridad nos ayudará desde dos puntos de vista:

• A determinar qué equipos instalar en función de la cantidad de riesgo que queramos reducir.
• ¿Qué actividades debemos realizar para mantenerlos correctamente?

2.- A lo largo de la historia ha habido distintos estándares. Por ejemplo, la ANSI/ISA-S84.00.01-1996, basada en normativa americana, recopiló todos los estándares existentes para hacer un único documento. Por otro lado, en Europa, la Comisión Electrotécnica Internacional creó el estándar 61508.

Esta norma no solo regula cuándo debemos instalar un SIS, también regula su diseño, fabricación y mantenimiento.

La IEC61508 es, sin embargo, un documento largo y complejo. Para facilitar su uso, se han realizado escisiones adaptadas a los distintos sectores: la IEC61513 para el sector nuclear, la IEC62061 para el sector de la maquinaria o la IEC61511 para el sector de la industria de procesos, que es realmente el que nos ocupa en este caso.

Esta norma empieza con la identificación del riesgo de accidente y termina con la instalación y puesta en marcha del SIS, pasando por procesos de cambio y mantenimiento.

3.- Lo primero que necesitamos para diseñar un sistema instrumentado de seguridad es saber a qué riesgos nos enfrentamos. El riesgo es la combinación de probabilidad que ocurra un accidente concreto y el daño que éste cause. 

Lo segundo que necesitamos saber es qué riesgo estamos dispuestos a tolerar. El riesgo cero, por desgracia, no existe y, sea de un valor u otro, habrá que tolerar un cierto riesgo.

Sabiendo el riesgo que hay (riesgo inherente que normalmente será alto) y qué riesgo estoy dispuesto a tolerar, puedo conocer el factor de reducción de riesgo (RRF, por sus siglas en inglés Risk Reduction Factor).

Ese factor de reducción de riesgo, junto con la detección del evento iniciador y la acción que hay que llevar a cabo para que el accidente no se produzca, determinan prácticamente todo el diseño:

• El tipo y calidad de equipos sensores.
• El procesamiento lógico (logic solver) que evaluará la aparición del riesgo y decidirá si hay que actuar o no y de qué manera.
• La calidad y cantidad de elementos de control final que actuarán para evitar el accidente.

Estos tres componentes conforman lo que se denomina una función instrumentada de seguridad (en inglés, Safety Instrumented Function o SIF).

4.- No es lo mismo que un riesgo inherente sea diez veces mayor que el riesgo que somos capaces de tolerar, a que sea diez mil veces mayor.

Para diferenciar este hecho, se han establecido unos niveles de integridad de seguridad (SIL, Safety Integrity Level). Si el riesgo tiene que ser menos de 10 veces inferior al inherente, se corresponde con un SIL0, si es entre 10 y 100 es SIL1, entre 100 y 1.000 hablamos de SIL2 y entre 1.000 y 10.000 se corresponde con SIL3.

Si la reducción de riesgo necesaria es mayor de 10.000, hay que darle una vuelta al proceso. Es un riesgo demasiado alto como para neutralizarlo solamente con un SIS.

Los equipos que tendré que instalar para reducir el riesgo deberán fallar poco, especialmente cuando se requiera que actúen (a la demanda). Siendo así, se da el caso de que la probabilidad de fallo a la demanda (PFD, por sus siglas en inglés) de un equipo de estos, es la inversa del factor de reducción de riesgo. De este modo, conociendo el riesgo que quiero reducir, automáticamente sé la probabilidad de fallo combinada de los equipos que tengo que instalar.

La probabilidad de fallo a la demanda de una protección es la suma de la probabilidad de fallo de los sensores, del elemento lógico y de los elementos de actuación final.

Sin entrar en más detalle, una vez el diseñador ha decidido qué elementos va a instalar, sus tasas de fallo a la demanda serán conocidas. La verificación del nivel de integridad de seguridad (SIL) será el cálculo de que la probabilidad de fallo a la demanda del conjunto se mantiene por debajo del valor deseado, no solo en el momento de su instalación, sino también a lo largo de su vida y, por tanto, para el cálculo hay que tener en cuenta también las actividades de mantenimiento que se realizarán sobre ellos.

Si tras el cálculo la probabilidad de fallo sigue siendo muy alta, habrá que hacer cambios en el diseño del SIS, bien aumentando la frecuencia del mantenimiento o poniendo redundancia en algunos elementos.

----

Este artículo aparece publicado en el nº 560 de Automática e Instrumentación págs. 42 a 45.