Una de las grandes aplicaciones del conjunto válvula-actuador es el sector de transporte por ducto de hidrocarburos, un medio seguro que evita exponer a viajeros, que transitan por caminos y puentes del territorio nacional, a incidentes que involucran hidrocarburos y sus riesgos correspondientes. Sin embargo, el transporte por ducto requiere superar retos para crear instalaciones seguras; algunos de estos retos son:
- La detección de fugas.
- Detección de tomas clandestinas.
- Detección de pequeñas y graduales fugas.
- Corrosión y ruptura de ductos.
En todos los aspectos mencionados anteriormente, el conjunto válvula-actuador forma parte importante de sistemas (sistemas de paro por emergencia) dirigidos a prevenir incidentes y, en su caso, reducir los efectos de una catástrofe.
Estos sistemas se forman por un lazo de control conformado por:
- Sensor y transmisor de presión. (Sensor: elemento primario de control; Transmisor: elemento secundario de control).
- Sensor y transmisor de temperatura. (Sensor: elemento primario de control; Transmisor: elemento secundario de control).
- Un controlador lógico.
- Un conjunto válvula – actuador. (Elemento final de control).
Da click aquí y descubre todo sobre Vacoisa, empresa especializada en válvulas y conectores industriales.
El funcionamiento básico de estos lazos de control inicia a partir del monitoreo de condiciones normales de las variables de operación del ducto
(presión, temperatura, etc). Cuando se presenta una anormalidad en dichas variables o un cambio brusco, el sistema envía una señal de cierre al actuador, el cual efectúa un cierre rápido de la válvula como una de las fases de contención para detener el flujo de hidrocarburo a través del ducto.
El riesgo que involucra la manipulación de los hidrocarburos, ha hecho necesario definir un nivel de confiabilidad de los sistemas de paro por emergencia. Esta característica es una de las importantes diferencias entre un lazo de monitoreo y control de proceso, y un sistema de paro por emergencia.
Los sistemas de paro por emergencia cuentan con Safety Integraty Level (SIL), una herramienta utilizada para definir la confiabilidad del diseño de una Función Instrumentada de Seguridad (FIS) o lazo de control (combinación de sensores, controlador y elementos finales de control) del sistema de paro por emergencia.
La diferencia entre un lazo de control de proceso y una FIS, es que la función instrumentada de seguridad detecta un peligro o condición riesgosa del proceso y reacciona llevando el proceso a un estado seguro, como es el caso del actuador, al detectar un evento no deseado como detección de fuga o ruptura de un ducto.
Existe una idea errónea en la que se piensa que al integrar un FIS con elementos (sensores, controladores y actuadores) certificados con cierto nivel integral de seguridad (SIL), el sistema será altamente seguro. Con el presente artículo esperamos ampliar la visión del SIL y corregir algunas ideas equivocadas.
Como se puede observar en la siguiente tabla, el nivel más alto del SIL es el más confiable.
De la tabla se puede observar que el SIL define un rango de confiabilidad (90-99% de confiabilidad, 99-99.9% de confiabilidad, etc.) y este rango de confiabilidad puede expresarse como Probabilidad de Falla en Demanda (PFD) (0.1-0.01 probabilidad de falla, 0.01-0.00001 probabilidad de falla, etc.), o como Factor de Reducción del Riesgo (RRF) (RRF= 1/PFD) (reducción de riesgo de 10-100 veces, reducción del riego de 100-1000 veces, etc.).
Todo mundo desea más confiabilidad en sus sistemas, sin embrago, la confiablidad de una FIS no se logra simplemente seleccionando el SIL deseado y asegurando que los componentes cuenten con el certificado del nivel SIL elegido; de igual manera, un SIL no se homologa a toda una planta o instalación. El SIL está siempre asociado a una función instrumentada de seguridad (FIS) y, si partimos de que un sistema instrumentado de seguridad (SIS) está compuesto por diferentes FIS, podremos comprender que, en un SIS, existirán tantos SIL’s como FIS existan.
El SIL es posterior a un análisis de riesgo HAZOP o LOPA para identificación, evaluación y reacción a los riegos. Sobre este último paso de reducción de riegos, el dueño del proceso define cuál es el nivel de riesgo que puede tolerar la planta.
Podría interesarte: Congreso Mexicano del Petróleo: Innovación para transformar la Industria Petrolera en México
Existen estándares para la definición de los procesos de análisis de riesgos y de todo el proceso descrito en el párrafo anterior; éstos están amparados por la International Electrotechnical Commission (IEC). El estándar IEC-61508 está dirigido a fabricantes de dispositivos, para diseñar componentes de alta integridad para ser utilizadas en una función instrumentada de seguridad; como involucrar nivel de diagnóstico de circuitos del dispositivo, software de auto pruebas, etc. El estándar IEC-61511 está dirigido a diseñadores de proceso y operadores, para implementar una función instrumentada de seguridad y alcanzar un factor de reducción de riesgo; como redundancia de equipos, requerimientos adicionales e intervalos de pruebas.
Los estándares mencionados ayudan a realizar decisiones como:
- Tipo de dispositivos a utilizar en la función instrumentada de seguridad (sensores, controladores y elementos finales de control).
- Arquitectura de los componentes, que define nivel de redundancia.
- Lógica de operación, que determina cómo una acción inicia basada en señales en conflicto.
- Intervalo de pruebas, cómo y cuándo cada componente debe ser probado.
Una vez decidido, a través del análisis LOPA ó HAZOP, el SIL requerido, el estudio y consolidación del SIL se desarrolla a partir de cinco pasos principales.
Paso 1: Descomponer el FIS en componentes y arquitectura; por ejemplo, la función de paro por emergencia de ducto mencionada anteriormente, podría ser de la siguiente manera:
Paso 2: Calcular la probabilidad de falla en demanda (PFD) de cada componente, un ejemplo de las fórmulas posibles de uso es:
Donde se está considerando:
ƛDU= Tasa de falla peligrosa no detectada.
T1= Intervalo de aplicación de pruebas.
MRT= Tiempo promedio de reparaciones.
ƛDD= Tasa de falla peligrosa detectada.
Nota: La fórmula es para fines de ejemplificación, las fórmulas pueden cambiar, entre otros factores, por tratarse de una estructura simple, doble redundancia, triple redundancia, etc.
Paso 3: Determinar la probabilidad de falla en demanda del FIS como un todo; esto es simplemente la suma de cada componente. Nota: esto aplica solamente si no existiera redundancia.
Paso 4: Convertir la probabilidad de falla en demanda (PFD) del FIS a factor de reducción de riesgo (RRF) “1/PFD”.
Paso 5: Comparar si el valor obtenido cumple con el SIL requerido, de acuerdo al estudio LOPA o HAZOP. Si el FIS no cumpliera con el SIL necesario, se considerará otras actividades como:
- Analizar el SIL del elemento del FIS con mayor probabilidad de falla.
- Aplicar alguna topología en redundancia.
- Aumentar frecuencia de pruebas del equipo.
Conclusión
Los procesos que involucran manipulación de hidrocarburos requieren de sistemas adicionales a los tradicionales sistemas de monitoreo y control de procesos, llamadas funciones integrales de seguridad que involucran los sistemas de paro por emergencia.
El SIL define un grado de confiabilidad de las funciones instrumentadas de seguridad. El SIL no es sólo un certificado, detrás de un SIL existe una metodología para determinar el mejor método de funcionamiento de un FIS adecuado a un proceso.
Entre mayor es el SIL de un FIS, mayor es la frecuencia de pruebas y horas de mantenimiento de los componentes, tareas que, de no cumplirse, impiden mantener el nivel de seguridad para el cual fue diseñado el sistema.