DeltaV SIS Marshalling Electronico

DeltaV SIS Manuel Lázaro Febrero de 2013

Agenda Introducción

1. • • • •

Hardware DeltaV SIS

2. • • •

Logic Solver. Arquitectura Arquitectura DeltaV SIS. Arquitectura Arquitectura DeltaV/DeltaV SIS.

Software DeltaV SIS

3. • • •

Entorno de Ingeniería. Librerías. Gestión de usuarios y alarmas.

Diagnósticos

4. • •

2

Necesidad de Sistemas de seguridad. Estándares IEC 61508 / IEC 61511. Evolución de los sistemas. Separación vs Integración.

Instrumentación. Partial Stroke Test.

[File Name or Event]

Jornadas Emerson 2013 2013 – Conexiones Inteligentes Confidencial

¿Por qu qué é nece necesi sitamos tamos hablar de segur segurid ida ad? Bhopal, India, 1984

Texas City Refinery, USA, 2004

Chernobyl, Russia, 1986

Todos debido a una combinación de fallos en el diseño, en los equipos y en los procedimientos utilizados. Piper Alpha, UK, 1988

3



Análisis de accidentes Especificación 44.1 % Cambios después de la puesta en marcha 20%

Operación y Mantenimiento 15%

Instalación y Puesta en marcha 6%

Diseño e Implementación 15%

Accidentes causados por fallos del Sistema de Control y Seguridad HSE Source : Why control systems go wrong and how to prevent failure (2nd edition)

4


Jornadas Emerson 2013 – Conexiones Inteligentes Confidencial

Seguridad Funcional ... ...es el correcto funcionamiento de los equipos, cuando los fallos pueden provocar serias consecuencias !

5



LOPA: CAPAS DE PROTECCION ACCION

CAPAS DE PROTECCIÓN Planes de Emergencia Exteriores

Catástrofe

Contención

Plan de Emergencia Interior

Sistemas Fire & Gas

Válvulas de alivio. Discos de ruptura Sistema Instruementado de Seguridad Intervención del operador

Protección activa

6


Parada de Emergenci a

SIS Alar mas de

Dispar o

Control de proceso Alar mas de

Control básico del proceso (BPCS)

Disminución de las consecuncias del accidente con medidas de mitigación

Corrección del proceso

Proceso

Control de proceso

Comportamiento Normal del Proceso


Disminución de la probabilidad mediante medidas de prevención

Relación entre IEC 61508 y IEC 61511 IEC61508 International Performance Based Standard For All Industries (Applies to suppliers)

IEC61513 : Nuclear Sector

IEC62061 : Machinery Sector

7


IEC61511: Process Industry Sector (Applies to End Users Jornadas Emerson 2013 – Conexionesand Inteligentes integrators) Confidencial

IEC61508-61511: Conceptos clave Ciclo de vida de seguridad 





Asegura la gestión de todas las actividades. Identifica actividades y objetivos. Gestiona los pasos de verificación.

Safety Integrity Level (SIL) Mide el nivel de riesgo.  Risk inherent in the process Cuantifica la reducción de  riesgo. risk Ajusta el diseño alOther SIL.  reduction k s i r

g n i s a e r c n I

measures Residual risk Risk reduction by Safety Instrumented System Tolerable risk region

8



IEC 61511 Ciclo de vida de Seguridad Análisis

Implementación Operación

9



Reducción de Riesgo Calculated Process Risk (Inherent Risk)

Process Design Changes Other Risk Reduction such as alarming, procedures, mechanical system etc

o g s e i R Tolerable Level of Risk

Risk Reduction for Safety Instrumented System

(defined by Customer per application)

10 [File Name or Event]


ANALISIS SIL 





IEC 61511 establece que con el análisis HAZOP y el LOPA se determinará el Nivel de Seguridad de cada Función Instrumentada de Seguridad y la Reducción de Riesgo que produce esa Función (SIF) El nivel de seguridad requerido (índice SIL) se establece con el Análisis SIL (Safety Integrity Level – Nivel de Integridad de la Seguridad) Conforme a IEC 61511-1 (ver tabla), cada nivel se seguridad SIL tiene asociado:

– Un Factor de Reducción de Riesgo (RRF) – Una Probabilidad de Fallo en Demanda (PFD) Safety Integrity Level

Probabilidad de Fallo en Demanda por año (PFD avg)

Factor de Reducción de Riesgo (RRF)

PFDavg expresada en %

SIL 4 (*)

>=10-5

y

<10-4

100.000

10.000

0,00%

0,01%

SIL 3

>=10-4

y

<10-3

10.000

1.000

0,01%

0,10%

SIL 2

>=10-3

y

<10-2

1.000

100

0,10%

1,00%

SIL 1

>=10-2

y

<10-1

100

10

1%

10%

* Si una SIF necesita un nivel de protección 4 (SIL 4), IEC-61511 es tablece que el proceso debe s er rediseña do

• La PFD es el inverso del Factor de Reducción de Riesgo 11 [File Name or Event]


La tecnología digital ha cambiado el panorama del control de procesos Value

Arquitectura Digital de planta DCS Centralizado

Armarios con lógica cableada

1940

1960

1980

2000

Time 12 [File Name or Event]


2020

r e k l a . W o s d ' r m a a o d l o A C , d r a r e v B n y e s D e , t r . u C o . c P , o e t o r u h t p c e e t r i h u t c u r F A

El SIS inteligente extiende estas ventajas probadas a la seguridad Value

Relés e Interruptores Casi imposible: Documentar Modificar Ensayar Detectar o Armarios con diagnosticar fallos lógica cableada • • • •

1940

1960

PLCs y Dispositivos Analógicos • Mejora en la

documentación y modificaciones. Ensayos mejorados Detección y diagnóstico de fallos DCS deficientes. Centralizado

• •

1980

Time 13 [File Name or Event]


Smart SIS Documentación y modificación fácil de realizar Ensayos automáticos. Detección y Digital Arquitectura diagnosis de fallos de planta inteligente.

•

•

•

2000

2020

r e k l a . W o s d ' r m a a o d l o A C , d r a r e v B n y e s D e , t r . u C o . c P , o e t o r u h t p c e e t r i h u t c u r F A


1. • • • •


Hardware DeltaV SIS

2. • • •

Logic Solver. Arquitectura DeltaV SIS. Arquitectura DeltaV/DeltaV SIS.

Software DeltaV SIS

3. • • •


Diagnósticos

4. • •




Características del Logic Solver  



  



16 canales por dispositivo de resolución lógica Configure cualquier canal para – Entrada analógica con Hart. – Salida de dos estados con Hart. – Entradas discretas de 12V DC según NAMUR. – Salidas discretas de 24 V DC. Detección de fallo de línea en todos los tipos de E/S. -40 a 70º C Ejecución en 50 ms. Diseñado para uso en aplicaciones hasta SIL 3 de acuerdo con los estándares IEC 61508 e IEC 61511. Interfase HART integrada.


Alimentación a 24 V CC

16 E/S


Certificado

SIL 3

Aumente la disponibilidad mediante redundancia 







Enlace de redundancia dedicado entre pares de Logic Solvers. Alimentación separada por Logic Solver. Los dos Logic Solvers utilizan los mismos datos de entrada para comprobación. Las CPUs son exactamente iguales.

La redundancia es para aumentar la disponibilidad, no para añadir seguridad.


SIL 3

16 I/O


Arquitectura tradicional de los sistemas de seguridad Si falla esta unidad, todos los lazos de seguridad fallan

2oo3

2oo2 1oo2D

2oo4

1oo2

De aquí el enorme interés por el Logic Solver 17 [File Name or Event]


Arquitectura tradicional de los sistemas de seguridad Éste no es nuestro planteamiento

2oo3

2oo2 1oo2D


2oo4

1oo2


El sistema DeltaV SIS elimina el punto de fallo común



Configuración Controlador/DeltaV SIS



aumentamos el número de señales de seguridad

512 E/S



Escalabilidad Red de Fibra Óptica Redundante en Anillo

Repetidores Redundantes



Adaptación a las necesidades por área SISnet de fibra óptica redundante conecta Logic Solvers inteligentes

16.000 E/S Área de planta 1 Jornadas Área de planta 2 Área de planta 3 Emerson 2013 – Conexiones Inteligentes


Confidencial

Añada ingeniería, HMI y diagnósticos AMS Suite y el sistema DeltaV SIS proporcionan operaciones, mantenimiento y configuración a través de Ethernet Comunicaciones de seguridad sólo a través de SISnet redundante



Integrados pero separados Funcionamiento de DeltaV

Herramientas Herramientasde de ingeniería de ingeniería de DeltaV DeltaV SIS


Red de control de DeltaV


3. Hardware : Control-Seguridad

Arquitectura BPCS – ESD



Built on Proven SLS1508 Functionality Fully Compliant to 61508 2010 edition TUV & Exida Approved SIL3 Simplex or Redundant QMR Redundant

50ms I/O Updates Read Inputs on any CSLS 100ms I/O Updates to BPCS Same Function Blocks Same HMI Experience 27 [File Name or Event]


DeltaV SIS with Electronic Marshalling LS-CHARMs  

DI Namur



DI 24 VDC Dry Contact



DI 24 VDC Isolated



DI 120 VAC Isolated



Thermocouple



RTD



24 VDC Power



DO 24 VDC DTA



DO 24 VDC ETA







Confidencial

DO 24 VDC Redundant DTA DO 24 VDC Redundant DTA Relay DO 24 VDC Redundant ETA DO 24 VDC Redundant ETA Relay



DO 120 VAC Relay



DVC HART DTA



Jornadas Emerson 2013 – Conexiones Inteligentes

AI 0-10 VDC Isolated






AI 4-20ma HART

DVC HART Redundant DTA

DeltaV SIS Architecture Cont… DeltaV ACN

1536 Safety I/O 384 Non-Safety I/O 1920 Total I/O LSN

Up to 4 CIOCs or WIOCs per SZ



Connecting To Others

Modbus TCP

3rd Party BPCS



Connecting To Others

Modbus TCP

3rd Party BPCS



Large 30,000 I/O DeltaV SIS System DeltaV ACN

ESD 32 [File Name or Event]

FGS Jornadas Emerson 2013 – Conexiones Inteligentes Confidencial

BMS

Easy Installation – Conventional

Front

288 I/O

Front & Back

576 I/O


+ +

288 I/O 576 I/O

+ +


288 I/O 384 I/O

= =

864 I/O 1536 I/O

Intrinsically Safe SIS CHARMS

SIS LSCHARMs • DI 24VDC • AI 4-20ma HART • RTD • TC




1. • • • •


Hardware DeltaV SIS

2. • • •


Software DeltaV SIS

3. • • •


Diagnósticos

4. • •




Un entorno de ingeniería compatido DeltaV: Control y seguridad 










Las mismas herramientas de ingeniería. No existe el mapeado de tags entre SIS y BPCS. No requiere enlances OPC ni serie. Todos los datos del SIS están disponibles en DeltaV. Disminuye el coste del ciclo de vida al compartir recursos.


DeltaV SIS proporciona un gran set de bloques de función certificados por TÜV



Bloques de función SIS patentados     

Voter analógico Voter Discreto Matriz de Causa Efecto Estado Transición Step Sequencer

Nueva paleta del Control Studio 38 [File Name or Event]


Bloque Voter Analógico (selector) 

     

Lee una o más señales analógicas y decide cuando disparar Analog voter Bypasses y overrides de arranque incluidos Time-outs de los bypasses configurables Alarmas de Pre-disparo y disparo incluidas Retardos de disparo incluidos 16 entradas Utiliza el estatus para modificar el algoritmo de selección inteligentemente



Ejemplo - selección 2oo3 con bypass y override

Forma antigua – Lógica ladder



Selección 2oo3 – La Forma Fácil!

Voter analógico



Qué le ocurre a la SIF cuando el FT-1 detecta un fallo? X

Bad status

Tal y como está configurado, el voter hace caso omiso del FT-1 y permuta a un voting 2oo2

La caldera sigue funcionando.



Qué le ocurre a la SIF si el FT-2 también detecta un fallo? X

Bad status Bad status

X

Tal y como está configurado, el voter desoye también el FT-2 y permuta a un voter 1oo1

La caldera sigue funcionando En cualquier otro sistema la caldera habría disparado desde el momento en que se trata de un voting 2oo3 43 [File Name or Event]


Ejemplo – La planta digital inteligente Paradas inteligentes

Cuando los fallos se arreglan, el voter vuelve al 2oo3

La caldera ha sido salvada de una parada innecesaria que hubiera ocurrido con otro sistema. 44 [File Name or Event]


Matriz de Causa y Efecto (CEM)



Bloque CEM 

   



Visualización de la primera activación en el Operator interface Logicas de Reset a Restart incluidaCause & Effect Matrix Logica de Permisivo y Override Capacidad de forzar salidas Temporizadores de retardo de disparo incluidos 16x16



Ejemplo - Matriz de Causa y Efecto



Implementación de CEM en un software SIS

Forma antigua

100 FL-1000

OR

0-200 gpm

delay 2 secs

Open FV 1004

600 PH-1002

OR

0-800 psi

Open XV 1005

XS-1003 XS-1004

OR

OR

Stop P-1007

HA-1005 Local reset



Close PV1006

Matriz de Causa y Efecto – La forma fácil!

Matriz de Causa & Efecto



Matriz de Causa y Efecto. Fácil configuración!

La matriz se dimensiona según la aplicación



Seguridad La integración con el BPCS es genial, pero quiero que todo el material del SIS esté estrictamente bajo llave.



Ampliación del DeltaV User Manager Un nuevo set de accesos y claves para proteger el SIS



Integrated SIS alarming

SIS Alarms 

SIS Bypasses

Built-in summary screens for Alarms, Bypasses, Overrides




1. • • • •


Hardware DeltaV SIS

2. • • •


Software DeltaV SIS

3. • • •


Diagnósticos

4. • •




¿Qué componentes se han estropeado? Dispositivo de resolución lógica 8%

Sensores 42% Elementos finales 50%

Fuente: Offshore Reliability Database (OREDA) 55 [File Name or Event]


Ensayo de comprobación de acuerdo con las normas

SIL 2 SIL 3 D F P

Intervalo entre ensayos de comprobación (años)



Los sensores forman parte del lazo de seguridad … el sensor de un SIS se utiliza para detectar cuándo está a punto de producirse un suceso peligroso

El 42% de los fallos son debidos a fallos de los sensores 57 [File Name or Event]


El pape papell de los disposi dis positivo tivoss monta mon tados dos en las instala ins talaci cion one es ha cambi cambia ado 





Potencia informática incorporada

en la placa permite cambios por pasos de la funcionalidad Se convierten en “servidores de información” de de la arquitectura basada en la instalación Una parte integrante del sistema de seguridad instrumentada



Los diagnósticos aumentan el

valor del dispositivo en la instalación



La válv válvul ula a de par par ada forma for ma par par te del del lazo laz o de d e segur segurid ida ad … el elemento de control final de un SIS se utiliza para llevar el proceso a un estado seguro cuando se violan condiciones predeterminadas – 3 componentes básicos •

•

•


válvula accionador instrumento / solenoide


¿Por qu qué é concentr con centra ars rse e en el eleme lement nto o final?

El 50% de los fallos son debidos a fallos de válvulas todo/nada



¿Por qué la válvula del SIS es responsable de más del 50% de los fallos? 



 



Las paradas de la planta han pasado de ser anuales a producirse una vez cada 3 – 5 años

La válvula del SIS permanece estática durante largos períodos de tiempo y sólo se mueve cuando se superan condiciones predeterminadas Las válvulas del SIS son propensas a atascarse Para asegurar que funcionarán cuando sea necesario, las válvulas del SIS se tienen que ensayar Hasta hace poco, las válvulas del SIS sólo se podían ensayar mediante métodos de ensayo caros y con uso intensivo de mano de obra



Ensayo de válvulas del SIS 

El objetivo de los ensayos es demostrar que las válvulas funcionarán de acuerdo con lo pretendido cuando se necesite que lo hagan FUERA DE LÍNEA

Carrera total Proceso parado

EN LÍNEA

Carrera total Bypass en servicio Ensayo de componentes Válvula de solenoide

Carrera parcial 

Los métodos de ensayo tradicionales son difíciles de aplicar, pueden suponer riesgos elevados respecto a la disponibilidad de la planta y pueden tener elevados costes de explotación



Efecto de la tasa de fallos sobre los niveles de integridad Intervalo entre ensayos de comprobación = 3 años 1,000 10,000

2 L I S F R R

100 1,000

1 L I S 10 100 0

3

6

9

Tiempo


Tasa de fallos alta Jornadas Emerson 2013 – Conexiones Inteligentes Confidencial

PFD avg (alta)

12

Efecto del intervalo entre ensayos de comprobación sobre el SIL 



Utilizados los componentes que han alcanzado el SIL 1 del caso 1 Reducción a la mitad del intervalo entre ensayos de comprobación de 3 años a 1,5 años



Efecto del intervalo entre ensayos de comprobación sobre los niveles de integridad de la seguridad

10,000 1,000

F R R

2 L I S 100 1,000

1 L I S 10 100 0

3

6

9

12

Tiempo Ti = 1,5 años 65 [File Name or Event]

TiJornadas = 3 años (T1 paraInteligentes 3 años) EmersonPFD 2013avg – Conexiones Confidencial

PFD avg (T1 para 1,5 años )

Efecto del ensayo de carrera parcial sobre los niveles de integridad de la seguridad Intervalo entre ensayos de comprobación = 3 años, intervalo entre ensayos de carrera parcial = 0,5 años

1,000 1,000

F R R

2 L I S 100 100

1 L I S 10 10

0

3

6

9

Tiempo Cobertura = 70%, Ti = 1,5 años Cobertura = 100%, Ti = 3 años Jornadas Emerson 2013 – Conexiones Inteligentes or Event] 66 [File Name PFD Confidencial PFD avg (ensayo de comprobación) avg (carrera parcial)

12

Summary – DeltaV SIS       



IEC 61508 SIL 3 Certified Scalable architecture Simplified Architecture Common Platform Familiar Tools On-line functional testing Pin pointed diagnostics

Emerson: Productos y procesos SIS Certificados IEC 61508 Certified Products: – DeltaV, Rosemount, Micro Motion, and Fisher products are IEC 61508 Certified. – Also support for proven-in-use Rosemount and Micro Motion sensors. IEC 61511 Certified Processes: Global Investment in the development  of “SIS Processes” – All Integration Centers are fully certified to IEC 61511. Build safer systems that do not  experience as many of the problems of the past. Build more cost effective systems that  match design with risk.  Eliminate “weak link” designs that cost much but provide little. Provide a single, worldwide framework  for consistent designs. 69 [File Name or Event]

Analysis

Implementation

Operation


DeltaV SIS Marshalling Electronico

Recommend Documents