Standards de Seguridad IEC 61508 IEC 61511

Guillermo Leanza

2004 ABB - 1 2004-01-01 SV3.1

Standards de Seguridad Niveles SIL

Standards de Seguridad - Niveles SIL

Introduccin a la Seguridad Funcional Bases de la Seguridad Funcional Anlisis de Peligros y Riesgos Diseo del Hardware

2004 ABB - 2

Standards de Seguridad Niveles SIL

Qu es la Seguridad Funcional?

Un sistema de seguridad es funcionalmente seguro si: Las fallas aleatorias, sistemticas y de causas comunes no llevan a mal funcionamiento del sistema de seguridad y no resultan en: Lesin o muerte de humanos Daos al medio ambiente Prdida de equipos o produccin

2004 ABB - 3

Standards de Seguridad Niveles SIL

Capas de Proteccin
Respuesta a la emergencia Proteccin pasiva Proteccin activa Accin de Parada de emergencia Parmetro Wild Process Valor del Proceso Proteccin aislada
Alarma de nivel trip

M I T I G A C I N

Respuesta de planta y/o emergencia Dique Valvula de alivio, disco de ruptura

SISTEMA INSTRUMENTADO DE SEGURIDAD

P R E V E N C I N

Intervencin del operador

Control de proceso
Alarma de alto nivel Alto nivel

Sistema bsico de control de procesos

Comportamiento normal

Control de proceso

Diseo de planta

2004 ABB - 4

Standards de Seguridad Niveles SIL

Safety Integrity Level

Qu es EL Nivel SIL?
Primero: es una medida cualitativa de la seguridad Segundo: es una medida cuantitativa de confiabilidad Se clasifican en 4 niveles SIL, 1-4

2004 ABB - 5

Standards de Seguridad Niveles SIL

Safety Integrity Level

Tres propiedades SIL importantes

SIL 4 3 2 1 Aplica a la funcin de seguridad completa SIL ms alto significa requerimientos ms estrictos Requerimientos tcnicos y no tcnicos PFD* 0,0001-0,00001 0,001-0,0001 0,01-0,001 0,1-0,01
Disponibilidad de Seguridad Reduccin de riesgo

0,9999-0,99999 0,999-0,9999 0,99-0,999 0,9-0,99

10.000-100.000 1.000-10.000 100-1.000 10-100

* Probabilidad de falla on demand

2004 ABB - 6

Standards de Seguridad Niveles SIL

Seguridad del Sistema Versus Proceso

Proceso o equipo bajo control Disponible Disparado, no disponible (Tripped) Disponible pero no protegido Disponible pero se necesita reparar el sistema de seguridad

Seguridad del sistema Estado OK Estado seguro Estado peligroso Estado intermedio

2004 ABB - 7

Standards de Seguridad Niveles SIL

Fallas en el Sistema de Seguridad

Las fallas del sistema de seguridad pueden ser: Aleatorias Causa Comn Sistemticas
* Cada una de estas fallas pone al sistema de seguridad en un estado especfico.

2004 ABB - 8

Standards de Seguridad Niveles SIL

Fallas Aleatorias

Definicin: Falla espontnea de un componente de hardware

Permanentes existen hasta ser reparadas Dinmicas slo en ciertas circunstancias

IEC 61508 Medidas para control de fallas (tablas) Estudios cualitativos y cuantitativos de confiabilidad del hardware (probabilidad de falla en demanda PFD)

2004 ABB - 9

Standards de Seguridad Niveles SIL

Fallas de Causa Comn

Definicin:
Son aquellas fallas simultaneas o coincidentes de dos o mas canales en un sistema de mltiples canales que causan que causan una falla en el sistema de seguridad Normalmente relacionadas con eventos ambientales (inundaciones, tormentas, etc.)

IEC 61508 Diversidad Consideradas en el calculo de PFD

2004 ABB - 10

Standards de Seguridad Niveles SIL

Fallas Sistemticas

Definicin: Falla oculta en el diseo o la implementacin

Software o Hardware Especificaciones de diseo Manuales de usuario, etc.

IEC 61508 Medidas para evitar fallas (tablas) NO incluidas en clculo de PFD

2004 ABB - 11

Standards de Seguridad Niveles SIL

Frecuencia de fallas

Cambios luego de comissioning Operaciones y Mantenimiento Instalacin y puesta en marcha

20% Especificacin

Diseo e Implementacin

Luego del desastre de Piper Alpha en el Mar del Norte se encarg un estudio. El reporte de este estudio, conocido como Out of Control, es un compilado de 34 incidentes que involucran sistemas de control, hecho por el UK HSE.

2004 ABB - 12

Standards de Seguridad

Evolucin de las normas

BASADOS EN DESEMPEO
1995 Draft

ESTANDARES CORRECTIVOS/PRESCRIPTIVOS International IEC SC 65 ISO 10418

1991 1993

IEC 61508

1998 2003

IEC 61511

Germany

DIN VDE 0801 DIN VDE 19250 HSE PES

1987 1989

UK

OHSA CFR 1910.119 USA

1992

ISA dS84.01 Draft API RP14C

1974, Flixborough 1974

1995

ANSI/ISA S84.01

1996

2004

ANSI/ISA S84.00.01 (IEC 61511 Mod)

1988, Piper Alpha 1986, Chernobyl 1989, Pasadena

1995

1976, Seveso

2005

2004 ABB - 13

1984, Bhopal

Standards de Seguridad Niveles SIL

Resumen del IEC 61508

Parte 1 Requerimientos Generales

Parte 7
Resumen de tcnicas y mediciones

Parte 2
Requerimientos de E/E/PES

Parte 6
Guas de aplicacin de IEC61508-2 e IEC61508-3

IEC 61508

Parte 3
Requerimientos de software

Parte 5
Ejemplos de mtodos para la determinacin de SILs

Parte 4
Definiciones y abreviaciones

2004 ABB - 14

Standards de Seguridad Niveles SIL

Resumen del IEC 61511

Parte 1
Marco, definiciones, sistema, requerimientos de software y hardware

IEC 61511

Parte 2
Guas de aplicacin de IEC 61511

Parte 3
Gua para la determinacin del SIL requerido

2004 ABB - 15

Standards de Seguridad Niveles SIL

IEC 61508 versus IEC 61511

Sector de Proceso Standard SIS

Fabricantes y proveedores de dispositivos .

Diseadores de sistemas de seguridad instrumentada, integradores y usuarios

IEC 61508

IEC 61511

2004 ABB - 16

Standards de Seguridad Niveles SIL

IEC 61508 versus IEC 61511

Qu standard debo seguir en la industria de procesos?

Hardware

Software

Nuevo desarrollo de hardware? . . . . . Siga el IEC 61508-2

Utilizo Hardware proven in use?

Uso hardware desarrollado y evaluado de acuerdo al IEC 61508? . . Siga el IEC 61511

Desarrollo software de configuracin nuevo o interno? . . Siga el IEC 61508-3

Desarrollo software de aplicacin utilizando todas las opciones del lenguaje? . Siga el IEC 61508-3

Desarrollo de software de aplicacin utilizando una versin limitada del lenguaje? Siga el IEC 61511

Siga el IEC 61511

2004 ABB - 17

Standards de Seguridad Niveles SIL

Qu funcin es?
Inicio S

No

Es una funcin instrumentada?

Relacionada con la seguridad?

No

No

Funcin de seguridad instrumentada?

Continuo Irrelevante

Modo

Demanda

Funcin de proteccin de seguridad instrumentada

Prevencin

Tipo?

Mitigacin

Otros medios de reduccin de riesgo . .

Control de procesos bsicos y/o proteccin de bienes

Funcin de Control de seguridad instrumentada .

Funcin de Prevencin de seguridad instrumentada .

Funcin de Mitigacin de seguridad instrumentada .

2004 ABB - 18

Standards de Seguridad Niveles SIL

Standards de Seguridad - Niveles SIL

Introduccin a la Seguridad Funcional Bases de la Seguridad Funcional Anlisis de Peligros y Riesgos Diseo del Hardware

2004 ABB - 19

Standards de Seguridad Niveles SIL

Concepto de ciclo de vida IEC 61508

1. Concepto
2. Definicin del alcance general 3. Anlisis de peligros y riesgos 4. Requerimientos generales de seguridad

Management de Seguridad Funcional

6.Planeamiento general de operacin y mantenimiento .

7.Planeamien to general de validacin de seguridad .

8.Planeamien to general de instalacin y puesta en marcha

12. Instalacin y puesta en marcha generales

13. Validacin general de seguridad 14. Operacin, mantenimiento y reparacin generales

fase de ciclo de vida de seguridad general apropiado

9. Realizacin de Safety Requieriment Specification E/E/PES . . Retroceso a . la

15. Modificacin general y vuelta atrs

16. Retiro de servicio o descarte

2004 ABB - 20

Verificacin

5. Asignacin del nivel de seguridad

Evaluacin de la seguridad funcional

Documentacin

Standards de Seguridad Niveles SIL

Concepto de ciclo de vida 61511

Evaluacin de peligros y riesgos Asisgnacin de funciones de seguridad a capas de proteccin Especificacin de requerimientos de seguridad para el sistema de seguridad instrumentado

Fase de Anlisis

Management Estructura y de seguridad planeamiento funcional y del ciclo de evaluacin de vida de seguridad seguridad funcional

Diseo e ingeniera del sistema de seguridad instrumentado

Diseo y desarrollo de otros medios de reduccin de riesgo

Verificacin

Fase de Realizacin

Instalacin, puesta en marcha y validacin Operacin y mantenimiento Fase de Operacin

Modificacin

Retiro de servicio
2004 ABB - 21

Standards de Seguridad Niveles SIL

Concepto de ciclo de vida

Un ciclo de vida nos ayuda de forma sistemtica a - Afrontar actividades - Afrontar responsabilidades - Identificar capacidades requeridas por fase - Identificar necesidad de documentos - Trabajar en administracin de la seguridad, actividades de verificacin y validacin Diferentes ciclos de vida pueden definirse por - Usuarios finales, integradores, desarrolladores, hardware, software...

2004 ABB - 22

Standards de Seguridad Niveles SIL

Administracin de la seguridad

Por que administramos la seguridad? - Seguridad puede ser el nico beneficio en un proyecto - Seguridad no debe ocurrir por suerte - Seguridad debe estar documentada y ser repetible

2004 ABB - 23

Standards de Seguridad Niveles SIL

Administracin de la seguridad

Objetivos - Definir todas las actividades tecnicas y de administracin durante el ciclo de vida del sistema de seguridad - Establecer responsabilidades o actividades para
Personas Departamentos Organizaciones

2004 ABB - 24

Standards de Seguridad Niveles SIL

Verificacin y Validacin

Qu es la verificacin? - Fabriqu correctamente el producto? - La verificacin es llevada a cabo luego de cada fase del ciclo de vida Qu es la validacin? - Fabriqu el producto correcto? - La validacin es llevada a cabo por el comprador cuando l recibe el producto

2004 ABB - 25

Standards de Seguridad Niveles SIL

Verificacin

El objetivo de la verificacin es - Demostrar, para cada fase del ciclo de vida (mediante revisin, anlisis y/o testeos), que las salidas satisfacen en todo sentido los objetivos y requerimientos especificados por la fase

2004 ABB - 26

Standards de Seguridad Niveles SIL

Verificacin

Cuando verificamos... - Qu estamos verificando? - Quin est verificando? - Qu herramientas/tcnicas/equipamiento es necesario para verificar? - Qu criterio de xito/falla tenemos? - Cmo manejar incumplimientos?

2004 ABB - 27

Standards de Seguridad Niveles SIL

Validacin

El objetivo de la validacin es - Validar que el sistema de seguridad satisfaga la especificacin de los requerimientos generales de seguridad

2004 ABB - 28

Standards de Seguridad Niveles SIL

Validacin

Cuando validamos - Cul es la base de validacin? - Qu herramientas/tcnicas/equipamiento/conocimiento necesitamos para validar? - Test de aceptacin en fbrica (FAT) - Test de aceptacin en sitio (SAT)

2004 ABB - 29

Standards de Seguridad Niveles SIL

Evaluacin de Seguridad Funcional

Evaluacin de Seguridad Funcional - No es lo mismo que V&V * - No verifica el contenido tcnico en detalle - Chequea si todo es llevado a cabo como estaba planeado - Se efecta para cada fase del ciclo de vida - Necesita ser planeado - Se hace con suficiente independencia
* Verificacin y Validacin
2004 ABB - 30

Standards de Seguridad Niveles SIL

Subsistemas

Subsistema - Puede ser de varios componentes - Puede tener redundancia interna

Sensor

Mdulo de entrada

Mdulo lgico

Mdulo de salida

Actuador

S1

Proceso

2004 ABB - 31

Standards de Seguridad Niveles SIL

Baja versus Alta demanda

Demanda del proceso protegido: - Menos de una demanda por ao Baja Funcion de parada de emergencia (ESD) Paradas de emergencia de un tren - Mas de una demanda por ao Aviones
* Las demandas frecuentes en un proceso de Baja demanda puede que no resulte en necesitamos un proceso de alta demanda sino en un cambio de procedimientos!

Alta

Maquinaria con control de 2 manos

2004 ABB - 32

Standards de Seguridad Niveles SIL

Tolerancia a fallas de hardware (HFT)

Tolerancia a fallas de hardware - De N significa que N+1 faltas podran causar prdida de la funcin de seguridad - Es una medida de redundancia - Debe ser determinada por subsistema El link ms dbil dentro de un subsistema determina la tolerancia a fallas

2004 ABB - 33

Standards de Seguridad Niveles SIL

Ejemplos de HFT
Redundancia 0 0 2 3 3 4 HFT 0 0 1 1 2 2

Ejemplo 1oo1 2oo2 1oo2 2oo3 1oo3 2oo4

2004 ABB - 34

Standards de Seguridad Niveles SIL

Modos de falla

Tasa de falla Fallas seguras Seguras detectadas Seguras NO detectadas Fallas peligrosas Peligrosas detectadas Peligrosas NO detectadas

2004 ABB - 35

Standards de Seguridad Niveles SIL

Deteccin de fallas

Pueden detectarse de 3 maneras - Operacin normal - Pruebas peridicas - Diagnsticos internos

2004 ABB - 36

Standards de Seguridad Niveles SIL

Deteccin por operacin normal

La operacin del proceso revela las fallas del equipo de - Parada de una parte del proceso debido al sistema seguridad

* Esta deteccin no es util cuando se pretende mantener un proceso de produccin estable

2004 ABB - 37

Standards de Seguridad Niveles SIL

Deteccin por Pruebas peridicas

Que es una prueba peridica?

- Es

una prueba que se realiza cada cierto tiempo pero no en forma automatica - Iniciadas por una accin humana - Usualmente no son built-in * Por ejemplo una prueba de cierre parcial de una valvula

2004 ABB - 38

Standards de Seguridad Niveles SIL

Deteccin por diagnsticos

Es una diagnstico frecuente y automtico que se lleva a cabo sin la intervencin de ninguna accin humana - Normalmente son built-in - Pueden ser de hardware o software

2004 ABB - 39

Standards de Seguridad Niveles SIL

Fraccin de Falla Segura (SFF)

Por que la necesitamos? - Los requerimientos de PFD slos no son suficientes para declarar que un sistema es seguro - Es una medicin de la efectividad de los diagnsticos internos

SFF = ( sd + su + dd ) / ( sd + su + dd + du)
X = Tasa de falla d = segura detectada d = peligrosa detectada u = segura NO detectada u = peligrosa NO detectada

2004 ABB - 40

Standards de Seguridad Niveles SIL

Subsistemas tipo A

Un subsistema es tipo A si - Los modos de falla estn bien definidos - El comportamiento de la falla puede determinarse completamente - Hay suficiente informacin sobre la falla

2004 ABB - 41

Standards de Seguridad Niveles SIL

Subsistemas tipo B

Un subsistema es tipo B si - Uno o mas modos de falla no estn perfectamente definidos - El comportamiento de la falla no puede determinarse completamente - No hay suficiente informacin sobre la falla

2004 ABB - 42

Standards de Seguridad Niveles SIL

Restricciones de arquitectura en 61508

Mdulo lgico Mdulo de salida Actuador

Sensor

Mdulo de entrada

S1

Proceso

Tipo A
Fraccin de falla segura < 60 % 60% - < 90% 90% - < 99% > 99%
Tolerancia a desperfectos de hardware (HFT)

Tipo B
Tolerancia a desperfectos de hardware (HFT)

0
SIL 1 SIL 2 SIL 3 SIL 3

1
SIL 2 SIL 3 SIL 4 SIL 4

2
SIL 3 SIL 4 SIL 4 SIL 4

0
N.A. SIL 1 SIL 2 SIL 3

1
SIL 1 SIL 2 SIL 3 SIL 4

2
SIL 2 SIL 3 SIL 4 SIL 4

2004 ABB - 43

 2004 ABB - 44