Probabilidad de fallo
¿Es muy importante calcular con mucha precisión la probabilidad de fallo media “PFDavg” de una Función Instrumentada de Seguridad? La respuesta corta es “NO”, y vamos a tratar de explicarlo a continuación.
Lo primero que hay que decir es que la Seguridad Funcional es mucho más que el cumplimiento de la probabilidad de fallo. La IEC 61511 define el llamado “ciclo de vida” del Sistema Instrumentado de Seguridad (SIS) donde encontramos numerosas etapas y conceptos muy importantes (SRS, Diseño, FAT, SAT, Verificación, Validación, Gestión de la Seguridad, Mantenimiento, fallos hardware y fallos sistemáticos, etc.)
Respecto al producto en sí mismo hay dos requerimientos, uno es la Capacidad Sistemática (producto certificado, “proven in use” o “prior use”) y el otro es el requerimiento de la probabilidad de fallo del que trata este artículo. Hay un tercer requisito, llamado de Restricciones de Arquitectura, que tiene que ver con el diseño de la Función Instrumentada de Seguridad (SIF) en cuanto a cuál debe ser su redundancia mínima (1oo1, 1oo2, 2oo3, …).
Parámetros de cálculo
Para calcular la PFDavg o PFH utilizamos una serie de parámetros, algunos de ellos impactan muy significativamente en el resultado como las tasas de fallo, el valor de PTC (“proof test coverage”) y el factor Beta utilizado en las arquitecturas redundantes (1oo2, 2oo3,…)
No suele ser sencillo definir con cierto rigor estos tres parámetros:
–Tasas de fallo: ¿Son fiables los valores que estoy utilizando? ¿Cuál es su procedencia? ¿Son valores válidos para las condiciones de operación de la planta y para el tipo de servicio “severo” de algunas de las SIFs? Si no son fiables lo recomendable es multiplicarlos por un factor entre 2 y 5.
–Proof Test Coverage (PTC): Este parámetro mide cuántos fallos somos capaces de detectar al realizar las pruebas de mantenimiento. A menudo se desprecia este valor asumiendo que es 100% lo que en la práctica es imposible. Muchos de los fallos están “ocultos” y no se detectan. Un valor típico para una válvula es 70% o incluso menos. Este factor debe facilitarlo el fabricante del producto. Una variación de sólo un 3% en este parámetro puede tener un impacto grande en el resultado de PFDavg. ¿Qué tipo de pruebas vamos a hacer? ¿Estamos seguros de que las vamos a hacer completas para cumplir el valor de PTC definido?
–Factor Beta: Este factor cuantifica los posibles fallos de causa común en las arquitecturas redundantes como 1oo2 o 2oo3. Por defecto se utilizan valores de 5%/2%/10% para el sensor/logic solver/actuador.
En las siguientes tablas se muestran ejemplos para entender el enorme impacto que tienen estos parámetros al calcular la PFDavg:
Tabla 1: Suponemos las mismas tasas de fallos DD y DU =800 FITS (TI=1 año; MTTR=48h.)
| Final Element | PTC | Beta | PFDavg | SIL alcanzado | Resultado |
| 1oo1 | 100% | NA | 3.50E-03 | SIL-2 | No realista |
| 1oo1 | 70% | NA | 1.82E-02 | SIL-1 | Realista |
| 1oo2 | 100% | 0% | 1.64E-05 | SIL-4 | No realista |
| 1oo2 | 100% | 5% | 1.91E-04 | SIL-3 | No realista |
| 1oo2 | 70% | 0% | 3.41E-04 | SIL-3 | No realista |
| 1oo2 | 70% | 5% | 1.23E-03 | SIL-2 | Realista |
Tabla 2: Suponemos la mitad de fallos DD y DU =400 FITS (TI=1 año; MTTR=48h.)
| Final Element | PTC | Beta | PFDavg | SIL alcanzado | Resultado |
| 1oo1 | 100% | NA | 1.75E-03 | SIL-2 | No realista |
| 1oo1 | 70% | NA | 9.11E-03 | SIL-2 | Realista |
| 1oo2 | 100% | 0% | 4.11E-06 | SIL-4 | No realista |
| 1oo2 | 100% | 5% | 9,15E-05 | SIL-4 | No realista |
| 1oo2 | 70% | 0% | 8.52E-05 | SIL-4 | No realista |
| 1oo2 | 70% | 5% | 5.36E-04 | SIL-3 | Realista |
Una desviación pequeña en estos parámetros introduce mucho más error en el cálculo de la PFDavg que el posible error que podemos cometer por utilizar una herramienta de cálculo menos compleja.
¿Es lo mismo PFDavg = 3.77E-03 que 3.40E-03? El valor no es el mismo, pero desde un punto de vista práctico la diferencia no es tan relevante. ¿Por qué? Por lo dicho anteriormente, porque este error en el cálculo de la probabilidad de fallo es insignificante comparado con el error que hemos cometido al utilizar parámetros poco rigurosos o de dudosa procedencia.
La norma IEC 61511 no obliga a utilizar ninguna herramienta certificada para realizar estos cálculos de verificación del SIL, pueden incluso hacerse manualmente o con una hoja de cálculo. Es más importante manejar bien los conceptos, seleccionar correctamente los parámetros y utilizar fórmulas completas donde intervengan los parámetros principales, en especial PTC y Beta.
Como complemento a este artículo os invitamos a leer este informe.
Artículos relacionados:
Comparar SILcet con exSILentia – Seguridad Funcional (safetyandsis.com)