Nota: Este artículo ha sido revisado y cedido a la ISA. Para acceder a la revisión actualizada "pulsar en este enlace"
1. INTRODUCCIÓN
2. FALLOS ALEATORIOS
2.1. Fallos aleatorios seguros
2.1.1. Fallos aleatorios seguros detectados
2.1.2. Fallos aleatorios seguros no detectados
2.2. Fallos aleatorios peligrosos
2.2.1. Fallos aleatorios peligrosos detectados
2.2.2. Fallos aleatorios peligrosos no detectados
3. FALLOS HUMANOS
3.1. Fallos humanos seguros
3.2. Fallos humanos peligrosos
3.3. Fallos humanos en realizar pruebas periódicas
4. FALLOS SISTEMÁTICOS
____________________________________________________________
1. INTRODUCCIÓN
En este artículo, vamos a exponer los distintos tipos de fallos usando un ejemplo cotidiano: “los frenos de un tren”.
Antes de explicar los tipos de fallo deberemos comenzar por explicar lo que es un fallo.
El fallo se define como el cese de la aptitud de un elemento para realizar una función requerida. Un fallo ocurre cuando un elemento deja de cumplir la función para la cual ha sido diseñado.
Para el ejemplo de los frenos de un tren, la función requerida es que detenga el tren cuando sea requerido. Si los elementos que componen los frenos, están en condiciones de detener el tren cuando sea requerido, estos elementos están operativos (disponibles) y si no, estarán averiados (es mejor no utilizar la expresión “estarán en fallo”). El fallo es la transición del estado de disponibilidad al estado de avería.
Entender los tipos de fallos, nos ayudará a poder entender mejor otros conceptos, como la probabilidad de fallo en demanda media (PFDavg), el tiempo medio entre fallos (MTBF), la tasa de disparos espurios (STR) y en general los conceptos de la Seguridad Funcional.
Vamos a tratar de explicar los fallos aleatorios, los humanos y los sistemáticos.
Antes de ponernos en plan pesimista y pensar en fallos, pensemos que durante la gran mayoría del tiempo de operación de una planta industrial, los componentes o elementos eléctricos o electrónicos de una función instrumentada de seguridad, es decir, sensores, elementos lógicos y elementos finales estarán funcionando correctamente (podemos decir estarán disponibles).
En nuestro caso de ejemplo, mientras el tren esté en servicio, el sistema de frenada estará disponible la gran mayoría del tiempo, es decir, el sistema de frenada funcionará correctamente cuando sea requerido. Solamente existe una pequeña probabilidad de que esto no sea así.
Al hecho de que el maquinista actúe los frenos y el tren frene lo podemos llamar acción de seguridad exitosa.
En este artículo, vamos a exponer los distintos tipos de fallos usando un ejemplo cotidiano: “los frenos de un tren”.
Antes de explicar los tipos de fallo deberemos comenzar por explicar lo que es un fallo.
El fallo se define como el cese de la aptitud de un elemento para realizar una función requerida. Un fallo ocurre cuando un elemento deja de cumplir la función para la cual ha sido diseñado.
Para el ejemplo de los frenos de un tren, la función requerida es que detenga el tren cuando sea requerido. Si los elementos que componen los frenos, están en condiciones de detener el tren cuando sea requerido, estos elementos están operativos (disponibles) y si no, estarán averiados (es mejor no utilizar la expresión “estarán en fallo”). El fallo es la transición del estado de disponibilidad al estado de avería.
Entender los tipos de fallos, nos ayudará a poder entender mejor otros conceptos, como la probabilidad de fallo en demanda media (PFDavg), el tiempo medio entre fallos (MTBF), la tasa de disparos espurios (STR) y en general los conceptos de la Seguridad Funcional.
Vamos a tratar de explicar los fallos aleatorios, los humanos y los sistemáticos.
Antes de ponernos en plan pesimista y pensar en fallos, pensemos que durante la gran mayoría del tiempo de operación de una planta industrial, los componentes o elementos eléctricos o electrónicos de una función instrumentada de seguridad, es decir, sensores, elementos lógicos y elementos finales estarán funcionando correctamente (podemos decir estarán disponibles).
En nuestro caso de ejemplo, mientras el tren esté en servicio, el sistema de frenada estará disponible la gran mayoría del tiempo, es decir, el sistema de frenada funcionará correctamente cuando sea requerido. Solamente existe una pequeña probabilidad de que esto no sea así.
Al hecho de que el maquinista actúe los frenos y el tren frene lo podemos llamar acción de seguridad exitosa.
Figura 1. Operación exitosa.
1.2. Fallos seguros
Un fallo seguro es un fallo que lleva al
proceso (en este caso el tren) a una parada no deseada (el resultado de que el tren se haya parado, se puede denominar
estado seguro).
Nota: Un estado seguro garantiza la ausencia de peligro, en este caso ya no hay peligro de descarrilamiento.
Nota: Un estado seguro garantiza la ausencia de peligro, en este caso ya no hay peligro de descarrilamiento.
Evidentemente a nadie le gusta que su
planta química o su tren queden indisponibles y no todo el mundo entiende que es
un precio que hay que pagar para que las plantas o trenes sean seguros. La
única forma en la que no existan fallos seguros sería quitar todas las
protecciones, lo que no se le ocurre a nadie. En el caso del tren sería como
pensar que lo mejor sería que el tren no llevara frenos. Estos fallos también se
llaman fallos espurios.
Figura 2. Fallo seguro.
En el caso del tren, al ocurrir un
fallo seguro, los frenos se activarían y el tren permanecería detenido hasta que
al menos se reparase el fallo.
Un ejemplo sería que un sensor de sobre velocidad activase los frenos de emergencia automáticamente. Si el sensor sobre velocidad tuviera un fallo y los frenos de seguridad se activarían sin tener realmente una sobre velocidad.
En el caso de una planta petroquímica, habría que reparar el fallo y volver a arrancar la unidad o planta, asumiendo en muchos casos un importante impacto económico.
En el caso de una planta petroquímica, habría que reparar el fallo y volver a arrancar la unidad o planta, asumiendo en muchos casos un importante impacto económico.
Muchas empresas clientes (usuarios
finales) limitan por contrato las frecuencias de que aparezcan este tipo de
fallos, y es difícil combinar este requerimiento sin afectar la limitación de
fallos peligrosos que imponen los estudios de determinación de SIL.
Nota: En cuanto a los fallos seguros no hay mucha diferencia entre los detectados y los no detectados.
Los detectados hacen que se puedan tomar medidas para evitarlos en el futuro. En nuestro ejemplo si tenemos una alarma de que el sensor ha fallado se puede dar el fallo por detectado.
Si no teníamos forma de saber que el sensor había fallado ni la señal que estaba dando el sensor en el momento de la parada, el fallo habrá sido no detectado y nunca sabremos qué fue lo que activó los frenos ni podremos evitar que ocurra otra vez.
1.3. Fallos peligrosos
Figura 3. Fallo peligroso.
Los fallos peligrosos son los que
evitan que las funciones de seguridad (en este caso frenos) se puedan ejecutar
satisfactoriamente. Estos fallos pueden producir accidentes.
En el caso del tren, estos fallos
harían que los frenos no estén disponibles y “en caso de ser necesarios” (este
matiz es muy importante) provocarían un accidente.
2. FALLOS DETECTADOS Y NO DETECTADOS
2.1.
Introducción
Los fallos tanto los seguros como los
peligrosos, se subdividen entre “detectados” y “no detectados”.
Los fallos seguros tanto si han sido
detectados como si no, llevan la planta o tren al estado seguro, la diferencia
es que en el primer caso habrá un diagnóstico que nos indique la causa que
provocó la parada y de esta forma se pueda reparar este componente para evitar
futuras paradas.
2.2. Fallos detectados
En el caso del tren consideraremos que
existe la posibilidad de detectar una rotura del mecanismo que transmite al
freno la orden de frenada.
Una vez que un fallo peligro ha sido
detectado, se debe de tomar una medida para que “lo antes posible” o bien se repare o bien se detenga el tren. Siempre y cuando se tome alguna de estas medidas, los fallos peligrosos
“detectados” no provocarán accidentes.
Esto es debido al coste económico que tiene parar un tren y asumir los costes del retraso tales como llevar a la zona otro tren, indemnizar a los pasajeros, etc).
Para que se acepte la reparación en marcha, normalmente el operador tiene que comprometerse en que hará la reparación en un tiempo máximo prefijado. Durante este tiempo de reparación se asume que se está desprotegido de la seguridad y que una situación de emergencia en este tiempo nos puede llevar a un accidente. Habrá que valorar las consecuencias que tiene tomar una u otra decisión.
2.2. Fallos no detectados
Los fallos peligrosos “no detectados”
son aquellos que permanecen ocultos, sin que nadie sepa que están. Solamente afloran
cuando al ser requerida la función de seguridad, no responde.
En el mundo
real no existe la posibilidad de que un diagnostico cubra la detección del 100%
de los fallos peligrosos y por tanto siempre habrá un porcentaje de fallos
peligrosos “no detectados”. Lo único que se puede hacer con ellos es tratar de
minimizarlos.
Hay que tener en cuenta que minimizar
los fallos peligrosos tiene un coste y cuanto más se minimicen, más se dispara
ese coste. Aunque es un tópico, pero hay que recodar la frase de “El riesgo
cero tiene un coste infinito”. Por tanto las ingenierías de detalle tienen que
minimizar los fallos peligrosos no detectados hasta donde el estudio de
determinación SIL les obligue y no más.
Este tema es delicado, ya que el nivel
que se exige de fallos peligroso no detectados implica que se reconoce que el
accidente puede pasar (sea cada 10 años, 100 años, 1000 años etc). En el caso del tren
tiene unas consecuencias trágicas y en una planta petroquímica puede incluso
derivar en un numero de fatalidades aún mayor que el descarrilamiento de un
tren.
Figura 4. Fallo peligroso detectado.
Figura 5. Fallo peligroso no detectado
3.
FALLOS HUMANOS
Cabe señalar que en un análisis SIL,
se debe tener en cuenta el fallo humano.
En nuestro caso el fallo humano ocurre
si el conductor no aprieta los frenos del tren cuando son necesarios.
Hay mucha literatura sobre, cada
cuanto se debe poner en los estudios que falla una persona. Lo que está fuera
de duda es pensar que una persona nunca se equivoca, ya que intervienen
factores psicológicos, de estrés, despiste, falta de concentración, etc.
La probabilidad de fallo de una persona se debe de tener en cuenta a la hora de calcular el nivel SIL alcanzado.
Nota: Está más o menos estandarizado que una persona tiene una probabilidad de fallos de uno entre 10, es decir que de cada 10 veces que se le pida actuar los frenos cuando haya una situación de peligro (o cerrar una válvula ante una determinada alarma) lo hará correctamente 9 veces.
Para algunos, esta probabilidad es conservadora (el operador fallará menos), para otros razonable y para otros optimista (el operador fallará mas).
Ha habido muchos informes de accidentes donde se comprueba que en momentos críticos y de alto estrés, no es fácil tomar la decisión correcta, por muy evidente que resulte analizarlo a posteriori. En estos casos siempre se dice que es mejor no tomar ninguna decisión si no se está totalmente seguro, pero hay casos en los que las personas eran conscientes de que no tomar ninguna decisión llevaría al accidente.
El fallo humano será seguro si activa
los frenos por error (menos común) o peligroso si no los activa cuando debe de
activarlos (Normalmente sólo se analiza el caso de fallo humano peligroso).
Figura 6. Fallo humano seguro.
Figura 7. Fallo humano peligroso.
4. FALLOS SISTEMÁTICOS
Este articulo trata solamente sobre los fallos aleatorios que son los que “aparecen” en dispositivos eléctricos o electrónicos por desgaste de los componentes.
Los fallos sistemáticos merecen capítulo aparte y son aquellos que se pueden evitar implantando un buen sistema de calidad de seguridad, tal como describen las normas IEC-61508 y IEC-61511. Eso pertenece a la rama de la seguridad funcional.
Se trata de evitar mediante procedimientos que se cometan errores en el diseño, instalación, comisionado, puesta en marcha u operación que hagan que existan agujeros en la seguridad.
Aunque parece evidente diferenciar los fallos aleatorios de los sistemáticos, no es siempre una tarea fácil.
Artículo elaborado por: David Espinos Palenque (I&C)
Este articulo trata solamente sobre los fallos aleatorios que son los que “aparecen” en dispositivos eléctricos o electrónicos por desgaste de los componentes.
Los fallos sistemáticos merecen capítulo aparte y son aquellos que se pueden evitar implantando un buen sistema de calidad de seguridad, tal como describen las normas IEC-61508 y IEC-61511. Eso pertenece a la rama de la seguridad funcional.
Se trata de evitar mediante procedimientos que se cometan errores en el diseño, instalación, comisionado, puesta en marcha u operación que hagan que existan agujeros en la seguridad.
Aunque parece evidente diferenciar los fallos aleatorios de los sistemáticos, no es siempre una tarea fácil.
Artículo elaborado por: David Espinos Palenque (I&C)
Si tiene algo que corregir o añadir agradecería que me mandara sus comentarios a:
InstrumentacionHoy@gmail.com
18/05/2015