ESPANOL

¿Se calcula el SIL de una SIF de Demanda Baja igual que el de una SIF de Demanda Alta o Continua?

Es muy importante identificar el modo de operación que es asignado a la Función Instrumentada de Seguridad (SIF). En la industria de procesos lo más común es que las SIF operen en modo de baja demanda (por ejemplo, el disparo de la SIF se presenta solo cuando falla el sistema de control), lo cual, para fines de verificación del SIL, requerirá determinar la probabilidad promedio de falla en demanda (PFDAVG). Pero, si la SIF tiene un modo de operación de alta demanda o de demanda continua, será necesario determinar la probabilidad de falla peligrosa por hora (PFH).
Las SIF deberán de ser diseñadas de acuerdo al modo de operación de cada una de estas. De acuerdo a IEC 61508/61511, se han definido tres modos de operación:

• Baja Demanda
• Alta Demanda
• Demanda Continua

¿Cómo sabemos cuál es el modo de operación de una SIF? Mucha gente en la industria de proceso asume que la SIF operará en baja demanda, lo cual no siempre es así, pudiendo traer como resultado que la SIF diseñada tenga un desempeño pobre en seguridad, y por lo tanto, un incremento en el riesgo del proceso.

Elegir el modo de operación de la SIF nos servirá entre otras cosas, para seleccionar las ecuaciones de fiabilidad adecuadas para fines de la verificación del SIL. Usar ecuaciones de baja demanda, en la verificación del SIL de una SIF que opera en alta demanda, o demanda continua, nos llevará a errores importantes; por ejemplo, decir que una SIF cumple con SIL 2, cuando en realidad solo cumple con SIL 1.
El modo de operación de la SIF deberá de estar claramente indicado en la Especificación de Requisitos de Seguridad (SRS), de manera que el diseñador del Sistema Instrumentado de Seguridad se asegure de cumplir con el requisito de seguridad (SIL) de acuerdo con los criterios de tolerancia al riesgo de la organización.

Modos de Operación

Los estándares de seguridad funcional IEC 61508 / 61511 distinguen entre los siguientes modos de operación:

Los modos de operación de una SIF dependen de la frecuencia de la demanda en la SIF, así como de la frecuencia con que se prueba manualmente y de la frecuencia de sus autodiagnósticos. La frecuencia de la demanda de la SIF no es necesariamente la frecuencia del evento iniciador (por ejemplo, falla del control), ya que las capas de protección que operan antes que la SIF, reducen la frecuencia de la demanda en la SIF (por ejemplo, alarmas).
Un par de criterios generales para definir si el modo de operación de la SIF es baja demanda, son:

1. Si usted está probando la SIF con una frecuencia al menos dos veces mayor a la demanda del proceso para que actúe esta SIF, entonces la SIF opera en modo de baja demanda, Y
2. Si la SIF no se espera que dispare (demanda) más de una vez al año.

Un tercer criterio es que la SIF también puede ser considerada como de baja demanda si los diagnósticos de la SIF se ejecutan con una velocidad de por lo menos 100 veces mayor a la demanda esperada. Por ejemplo, si la SIF se espera opere una vez al año (cada 365 días), entonces podrá ser considerada como de baja demanda si los diagnósticos de la SIF se ejecutan por lo menos cada 3.65 días. Lo anterior puede ser relativamente fácil de conseguir para la instrumentación electrónica (sensores y PLCs), cuyos diagnósticos automáticos se ejecutan cada pocos segundos, pero será complicado para los elementos finales (válvulas, etc.).

Por ejemplo:

• Una SIF que se dispara (sufre una demanda) en promedio una vez cada 3 años, deberá de ser probada al menos cada 1.5 años para ser considerada como de baja demanda.
• Una SIF que se dispara en promedio cada 10 años, pero se prueba cada 6 años, deberá de ser considerada como de alta demanda.
• Una SIF que retiene el estado seguro en operación normal, se considera como de demanda continua. Por ejemplo, cuando un lazo de control crítico es el único responsable de mantener el estado seguro del proceso, de modo que si esta falla, se producirá el evento peligroso sin necesidad de que se presente alguna otra falla simultánea, a menos que se tome alguna acción para prevenirlo.

Para muchos lo anterior no deja de ser confuso ¡y con justa razón! El mensaje que IEC 61508 ha querido transmitir es que hay que probar las SIF más frecuentemente que la frecuencia con que se presentan las demandas; de presentarse una falla peligrosa en la SIF, el operador querrá percatarse de esta antes de que se presente una demanda debido a una desviación peligrosa en el proceso. Lo anterior implica pruebas manuales dos veces más veloces que la demanda y pruebas automáticas diez veces más veloces que la demanda.

Selección del SIL Objetivo – Alta Demanda o Demanda Continua

El Factor de Reducción de Riesgo (RRF) es el inverso de la Probabilidad Promedio de Falla en Demanda (PFDavg).  En consecuencia, el concento de factor de reducción de riesgo solo es válido cuando el PFDavg es un concento válido, es decir, cuando las SIFs operan en baja demanda. Esto debe ser tomando en cuenta al elegir el método para la selección del SIL objetivo (por ejemplo, LOPA). La mayoría de los métodos para la selección del SIL objetivo, que existen en la industria de proceso, nos da como resultado un requisito de reducción de riesgo (RRF y/o PFDavg), por lo que solo pueden ser usados si la SIF opera en baja demanda. Si la SIF opera en alta demanda o en demanda continua, el requisito de seguridad (SIL objetivo) deberá estar expresado en Probabilidad de Falla por Hora (PFH).

Referencias

a)    Seguridad Funcional, Incluyendo Ciberseguridad y Administración de Alarmas. Esparza & De Los Santos. Exida. 2013
b)    Curso FSE 101. Análisis de Sistemas de Seguridad. Exida. 2021
c)    Safety Requirement Specification Template, P12 PRC-SRS,V0R1. Exida. 2019
d)    Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. IEC 61508: 2010
e)    Functional Safety: Safety Instrumented Systems for the Process Industry Sector. IEC 61511: 2016

ENGLISH

Is the SIL of a Low Demand SIF calculated in the same way as that of a High or Continuous Demand SIF?

It is very important to identify the mode of operation that is assigned to the Safety Instrumented Function (SIF). In the process industry, SIFs most commonly operate in low-demand mode (e.g., SIF trip occurs only when the control system fails), which, for SIL verification purposes, will require determining the average probability of failure on demand (PFDAVG). But, if the SIF has a high-demand or continuous demand mode of operation, it will be necessary to determine the probability of dangerous failure per hour (PFH).
The SIFs must be designed according to the mode of operation of each of them. According to IEC 61508/61511, three modes of operation have been defined:

• Low Demand
• High Demand
• Continuous Demand

How do we know what the mode of operation of a SIF is? Many people in the process industry assume that the SIF will operate in low demand, which is not always the case, and can result in the designed SIF having poor safety performance, and therefore, an increase in process risk.
Choosing the mode of operation of the SIF will help us, among other things, to select the appropriate reliability equations for the purposes of SIL verification. Using low demand equations, in the verification of the SIL of a SIF that operates in high demand, or continuous demand, will lead us to important errors; for example, saying that a SIF complies with SIL 2, when in reality it only complies with SIL 1.
The mode of operation of the SIF must be clearly indicated in the Safety Requirements Specification (SRS), so that the designer of the Safety Instrumented System ensures that it complies with the safety requirement (SIL) in accordance with the organization's risk tolerance criteria.

Modes of Operation

IEC 61508/61511 functional safety standards distinguish between the following modes of operation:
 

The mode of operation of a SIF depend on the frequency of demand in the SIF, as well as how often it is manually tested and the frequency of its auto-diagnostics. The frequency of the demand of the SIF is not necessarily the frequency of the initiating event (e.g., failure of the control), since the protection layers that operate before the SIF, reduce the frequency of the demand in the SIF (e.g., alarms).

A couple of general criteria to define whether the mode of operation of the SIF is low demand are:

1. If you are testing the SIF at least twice as often as the process demand for this SIF to act, then the SIF operates in low-demand mode, AND
2. If the SIF is not expected to trip (demand) more than once a year.

A third criterion is that the SIF can also be considered as low demand if the SIF diagnoses are executed at a speed of at least 100 times greater than the expected demand. For example, if the SIF is expected to operate once a year (every 365 days), then it may be considered as low demand if the SIF diagnostics are carried out at least every 3.65 days. This may be relatively easy to achieve for electronic instrumentation (sensors and PLCs), whose automatic diagnostics are executed every few seconds, but it will be complicated for the final elements (valves, etc.).

For example:

• A SIF that is triggered (suffers a demand) on average once every 3 years, must be tested at least every 1.5 years to be considered as low demand.
• A SIF that shoots up on average every 10 years, but is tested every 6 years, should be considered as in high demand.
• A SIF that retains the safe state in normal operation is considered to be in continuous demand. For example, when a critical control loop is solely responsible for maintaining the safe state of the process, so that if it fails, the hazardous event will occur without the need for any other simultaneous failure, unless some action is taken to prevent it.

For many, the above is confusing, and with good reason! The message that IEC 61508 has wanted to convey is that SIFs must be tested more frequently than the frequency with which demands occur; In the event of a dangerous failure in the SIF, the operator will want to become aware of it before a demand is filed due to a dangerous deviation in the process. This implies manual testing twice as fast as demand and automatic testing ten times faster than demand.

Selecting the Target SIL – High Demand or Continuous Demand

The Risk Reduction Factor (RRF) is the inverse of the Average Probability of Failure in Demand (PFDavg).  Consequently, the risk reduction factor concept is only valid when the PFDavg is a valid concept, i.e. when the SIFs operate in low demand. This should be taken into account when choosing the method for the selection of the target SIL (e.g. LOPA). Most of the methods for the selection of the target SIL, which exist in the process industry, result in a risk reduction requirement (RRF and/or PFDavg), so they can only be used if the SIF operates in low demand. If the SIF operates in high demand or continuous demand, the safety requirement (target SIL) must be expressed in Probability of Failure per Hour (PFH).

References

a)    Seguridad Funcional, Incluyendo Ciberseguridad y Administración de Alarmas. Esparza & De Los Santos. Exida. 2013
b)    FSE 101 Course. Analysis of Safety Systems. Exida. 2021
c)    Safety Requirement Specification Template, P12 PRC-SRS,V0R1. Exida. 2019
d)    Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. IEC 61508: 2010
e)    Functional Safety: Safety Instrumented Systems for the Process Industry Sector. IEC 61511: 2016