Los usuarios finales que operan maquinaria rotativa (crítica) tienen la obligación legal de implantar un sistema instrumentado de seguridad (SIS) adecuado y verificable. El nivel de integridad de la seguridad (SIL, IEC 61508), uno de los métodos de reducción de riesgos más destacados, permite a los responsables demostrar que se ha hecho todo lo posible para reducir los riesgos al mínimo. El SIL también está incorporado en la API 670-5ª edición como método para cumplir las normas de seguridad relativas a los sistemas de protección de máquinas. Dado que el SIL ha demostrado ser un método valioso para cumplir los requisitos legales de seguridad, el mercado de los sistemas de protección contra sobrevelocidad de turbinas se ha convertido en gran medida en un mercado basado en el SIL.
Cada vez son más los usuarios finales que exigen sistemas de seguridad certificados SIL, razón por la cual los fabricantes de equipos originales están incorporando SIL en el diseño de sus sistemas. Sin embargo, hay que hacer una distinción importante en la certificación SIL; certificado por uso probado, por un lado, y certificado por diseño, por otro.
Certificado por uso probado
La certificación SIL por uso probado significa que el SIS no está diseñado según los requisitos SIL especificados en la norma IEC 61508, sino que se basa en el tiempo medio entre fallos (MTBF), el tiempo medio hasta el fallo (MTTF) y los modos de fallo (detectado frente a no detectado). El uso probado se acepta basándose en estadísticas y no en la integridad de la seguridad definida por las directivas correspondientes. Los requisitos para la certificación "probado en uso" son muy exigentes y requieren que el usuario tenga*:
- Sistema formal de recopilación de datos de fiabilidad que distingue entre fallos seguros y peligrosos.
- Una forma de evaluar los datos registrados para determinar la integridad de la seguridad del SIS y su idoneidad para la aplicación.
- Pruebas de que la solicitud es claramente comparable.
- Registro histórico de las horas de funcionamiento.
- Pruebas de los sistemas de gestión, calidad y configuración de la fabricación del fabricante.
- Registros de revisión del firmware del dispositivo.
- Prueba de que los registros de datos de fiabilidad se actualizan y revisan periódicamente.
*Fuente: IEC 61508 & IEC 61511
Suele aplicarse a sistemas ya en uso que no superan la certificación SIL (IEC 61508). Basándose en su uso fiable durante décadas, con pocos fallos, estos sistemas obtienen la certificación SIL por "probado en uso". Es importante señalar que el uso probado sólo es válido para la aplicación específica en la que el sistema ha estado operativo y, por tanto, no puede transferirse sin más a aplicaciones comparables.
Nota: El uso probado es un enfoque más válido para un usuario final que para un OEM. Puesto que el usuario final conoce todos los entresijos del instrumento, la aplicación y las condiciones ambientales.
Certificado por diseño
La certificación SIL por diseño significa que el sistema está diseñado de acuerdo con los requisitos de la norma IEC 61508 para una gama específica de aplicaciones. El intervalo de prueba de los sistemas certificados por diseño es mucho mayor que el de los certificados por uso probado. Sin embargo, cuanto más complejo es el sistema, más periódicamente hay que probarlo. Esto se debe a que un mayor número de funcionalidades conlleva más puntos débiles potenciales en el sistema.
La certificación por diseño, para los fabricantes de equipos originales, siempre es preferible a la probada en uso debido a su mayor aplicabilidad e intervalos de prueba más largos. Sin embargo, muchos productos nunca podrán recibir dicha certificación debido a su diseño. En términos de SIL, la única opción es utilizar un producto no certificado o esforzarse por conseguir una certificación de uso probado.
SpeedSys; protección contra el exceso de velocidad certificada por diseño
Istec ha desarrollado el SpeedSys: un sistema de protección contra el exceso de velocidad certificado por diseño. Hemos eliminado todas las funcionalidades adicionales y hemos vuelto al núcleo de la protección contra el exceso de velocidad, tal y como se define en la norma API 670. El SpeedSys presenta un intervalo de prueba mínimo de 10 años, escalabilidad para una clasificación SIL superior mediante estructuras de votación y una arquitectura basada en transmisores en lugar de complejas arquitecturas basadas en bastidores. El SpeedSys ofrece el mismo nivel de protección que cualquier sistema basado en bastidores, pero es mucho más asequible económicamente tanto para equipos rotativos pequeños como grandes.
