(40at) Análisis Del Incremento De Los Periodos De Pruebas Manuales De La SIF En La Fase De Operación & Mantenimiento

Una de las propiedades de cada una de las SIF que ejecuta un SIS, es su modo de operación. En IEC 61511-1:2017 art. 3.2.39 se definen dos modos: el de “demanda” y el “continuo”, donde el primero (modo demanda), se refiere a SIFs que actuarán (se “dispararán”), cuando se produzca una demanda en el proceso (o evento peligroso, por ejemplo, una variable como presión, temperatura, o nivel, supera un valor máximo admisible), y llevarán al proceso a una condición segura, mientras que el segundo (modo continuo), se aplica a SIFs que deberán mantener al proceso controlado en forma segura evitando que se produzca un evento peligroso (por ejemplo, evitando una reacción exotérmica en un reactor alimentado). A su vez, el mismo artículo define dos subtipos para el primer modo: el de baja demanda y el de alta demanda:

BAJA demanda: la SIF deberá actuar cuando se produzca un evento peligroso (demanda) con una frecuencia no mayor a una por año:

[1] Frecuencia de la Demanda <= 1 demanda / año → BAJA

ALTA demanda: la SIF debe actuar cuando se produce un evento peligroso (demanda) con una frecuencia mayor a una por año:

[2] Frecuencia de la Demanda > 1 demanda / año → ALTA

Como vemos en las proposiciones lógicas [1] y [2], se cumple que (<= 1/año) es “lo opuesto” a, o el “negado” de (> 1/año), lo cual es lógico, porque BAJA demanda es lo opuesto de ALTA demanda y no existe la posibilidad de un tercer modo de demanda: o es ALTA o es BAJA.

Como también establece la norma IEC 61511, el modo de operación de cada SIF debe ser establecido durante la etapa de especificación de un SIS, y entonces cuando el SIS entra en su etapa de operación y mantenimiento se deberá asegurar que las SIFs conserven su propiedad de baja o alta demanda a lo largo de todo su ciclo de vida. Entonces, si nuestras SIF fueron definidas en la etapa de especificación como de baja demanda, por ejemplo, pero una vez entrada en la fase de operación y mantenimiento, “ajustamos” (ya sea por temas operativos, de mantenimiento, o de cumplimiento a los planes de producción), los periodos de pruebas manuales, haciendo por ejemplo que éstas se realicen en intervalos mayores a los especificados (por ejemplo, haciéndolas cada dos, tres, o cinco años en lugar de una vez por año), cabe preguntarnos, ¿se mantendrán los modos de operación?

Un poco de historia

El art. 3.2.39 de IEC 61511-1:2017 está “transcrito” del art. 3.5.16 de IEC 61508-4:2010. ¿Pero esto fue siempre así? La respuesta es no. La definición contenida en el art. 3.5.16 de la IEC 61508-4:2010, la encontramos en el art. 3.5.12 de la misma norma en su primera versión de 1998. En aquella primera versión se definían los modos de operación de baja y alta demanda de esta forma:

BAJA demanda: la frecuencia de la demanda no es mayor que una demanda por año y no es mayor que una demanda entre dos pruebas manuales (ver proposición [3])

ALTA demanda: la frecuencia de la demanda es mayor que una demanda por año o es mayor que una demanda entre dos pruebas manuales (ver proposición [4]).

Cabe aclarar aquí que, en realidad en las definiciones del tipo de demanda en la versión IEC 61508-4:1998, no se hablaba de la frecuencia de demanda “entre dos pruebas manuales”, sino de la frecuencia de demanda en relación con la frecuencia de las pruebas manuales, pero se prefirió usar aquí una forma de expresión que facilite la comprensión. En este orden de ideas, en lugar de hablar del tiempo transcurrido “entre dos pruebas manuales” se usará de aquí en más el término PTI (“Proof Test Interval”), término también definido por las normas), resultando las siguientes proposiciones lógicas que representan las definiciones de IEC 61508-4:1998 en su art. 3.5.12:

[3] (<= 1 demanda / año) Y (<= 1 demanda / PTI) → BAJA

[4] (>1 demanda / año) O (>1 demanda / PTI) → ALTA

Nótese que cada una de las proposiciones lógicas define modos de operación que son opuestos y excluyentes.

Vemos entonces que en la versión IEC 61508-4, (2010), actualmente vigente, se cambiaron las definiciones del modo de demanda, quitando condiciones que quizá no sean tan relevantes para el diseño, pero que son definitivamente importantes para el sostenimiento de la seguridad funcional durante la fase de operación y mantenimiento.

Un ejemplo preocupante

Si tomamos por ejemplo una función de seguridad de nuestro SIS definida en el diseño como baja demanda, esto es; se estima inicialmente que se hace una prueba entre dos periodos, se espera una demanda de 0.5 veces por año y se probará una vez por año. Luego en la fase de operación y mantenimiento, a esta misma función le “ajustamos” el periodo de pruebas manuales y las ejecutamos, por ejemplo, al segundo año (en lugar de hacerlo una vez por año, como fuera especificado), la probabilidad de falla de esta función irá incrementándose llegando a superar a la probabilidad de falla peligrosa promedio definido para el caso de baja de manda (PFDaveg1), mientras se reducirá el factor de reducción de riesgo (FRR), ya que éste es inversamente proporcional a la PFD, que fuera determinado como necesario para esta en el escenario de baja demanda. Este incremento de la PFD y decrecimiento del FRR continuará hasta que, finalmente, se ejecuten todas las pruebas manuales requeridas en la planificación de proof tests para esta SIF, permitiéndonos decir que se llegará a la condición de “as new” Art. 3.2.56 - IEC 61511-1 (2017) al finalizar cada proof test. Más allá de la alteración de la PFD y el FRR, también nos interesa saber si el tipo de demanda de nuestra SIF habrá sido afectado o no. Apliquemos las proposiciones planteadas [3] y [4]

Según la proposición [3]:

(<= 1 demanda / año) es VERDADERO, pero (<= 1 demanda / PTI) es FALSO, por lo cual es falso que la SIF sea de baja demanda (VERDADERO Y FALSO → FALSO)

Según la proposición [4]:

(>1 demanda / año) es FALSO, pero como (>1 demanda / PTI) es VERDADERO, es cierto que la SIF es de alta demanda (FALSO O VERDADERO → VERDADERO).

En conclusión, según la versión 1998 de IEC 61508, nuestra SIF pasó a ser de alta demanda, lo cual requeriría una revisión de su diseño para garantizar su integridad.

¿Qué pasará si analizamos el mismo caso con IEC 61511-1:2017 o con IEC 61608-4:2010?

Si aplicamos las proposiciones [1] y [2] podemos concluir que la SIF es de baja demanda. Esto ocurre porque la demanda no depende del “ajuste” realizado a la frecuencia de pruebas manuales.

Pero cuando hicimos el análisis con IEC 61508-4:1998 resultaba que la SIF había pasado a ser de alta demanda... ¿Es esta una incongruencia en la revisión 2010 de la norma IEC 61508? ¿por qué IEC 61511:2017 no considera el PTI cuando es común que en la industria de procesos el PTI sea mucho mayor que 1 año?. ¿Será entonces que IEC 61511 debería brindar alguna aclaración adicional a sus definiciones de demanda y continuo, que nos permitiera saber qué hacer con el tipo de demanda cuando realizamos las pruebas manuales con intervalos mayores a un año?

Son demasiadas preguntas como para poder ser respondidas en forma simple en este artículo. El solo hecho de haber incrementado los periodos de pruebas manuales a nuestra función definida como baja demanda, sin haber realizado una revisión previa de la ingeniería del diseño del SIS y haber desarrollado un proceso de gestión de cambio (como indica IEC 615111-1:2017,art 17.2), podría hacer que nuestra función presentara una mayor probabilidad de falla peligrosa promedio, o dicho de otra forma que redujera el riesgo menos de lo que debería, y que el diseño no fuera apropiado para la frecuencia con que se la demandará. Esto es, el incremento de los periodos de pruebas manuales sin un análisis de todas las variables conllevará a que todo lo que se supuso y se consideró en el diseño y cálculos acerca de la seguridad y la reducción de riesgo de la SIF, no se ajuste a la nueva realidad. Si esto no es advertido, puede llegar a generar una falsa sensación de seguridad que podría derivar en un accidente fatal.

Conclusiones

Ahora que se tiene claro cómo un incremento en los periodos de pruebas manuales puede degradar el desempeño de nuestra SIF, y que los operadores y mantenedores en la fase de operación y mantenimiento, pueden afectar el trabajo previamente desarrollado para nuestro SIS, y que la norma no contempla todos los posibles escenarios que se desarrollan en nuestra industria de procesos, cabe preguntarse: ¿Que se puede hacer?.

Es simple, primero, debe implementarse un sistema de gestión de la seguridad funcional (FSM), dirigido por personas competentes y finalmente, debe garantizarse la implementación de procesos de gestión de cambios si, en definitiva, no se pueden respetar los periodos de prueba inicialmente definidos para nuestra SIF.