Story Transcript
CFSP Aplicación de Proceso
Sección 1: Selección Múltiple
EJEMPLO
Número del candidato (Sin Nombre): Por favor escriba su nombre arriba, en el espacio designado. Solo una respuesta es la correcta. Por favor indique con un círculo solo la mejor respuesta posible.
1: ¿Cuáles de los siguientes no afecta el PFDavg? A. Tasa de falla peligrosa (Lambda D). B. Intervalo de prueba. C. Cobertura de prueba periódica. D. Tasa de falla segura (SFF). 2: Un proceso cíclico se lleva a cado completamente cada semana. Se espera que la función instrumentada de seguridad tenga demanda de un evento peligroso una vez por cada ciclo. Para lo cual ha sido designada, una SIF tipo A de canal simple con diagnóstico automático externo (No es parte de la función de seguridad) dicho diagnóstico se ejecuta cada semana. La información de la SIF completa es proporcionada a continuación: Tasa de falla peligrosa detectada (Lambda DD) = 0.002 fallas por año. Tasa de falla peligrosa no detectada (Lambda DU) = 0.0004 fallas por año. Tasa de falla segura detectada (Lambda SD) = 0.006 fallas por año. Tasa de falla segura no detectada (Lambda SU) = 0.003 fallas por año. La función de seguridad es probada completamente cada seis meses. ¿Para qué nivel de SIL califica este diseño? A. No cumple con ningún SIL B. SIL1 C. SIL2 D. SIL3 3: Para un sistema de seguridad configurado des-energización para parar, que utiliza componente idénticos, en un modo de baja demanda. ¿Cuál es el orden jerárquico correcto de las arquitecturas en términos de tasa de paros espurios? A. La más baja 1oo2, 2oo2, 2oo3, 1oo1 La más alta B. La más baja 1oo1, 2oo2, 2oo3, 1oo2 La más alta C. La más baja 2oo2, 2oo3, 1oo2, 1oo1 La más alta D. La más baja 2oo2, 2oo3, 1oo1, 1oo2 La más alta 4: ¿Qué significa que un sistema tenga una tolerancia a fallas de 2? A. No falla peligrosamente después de 1 falla aleatoria (random failure) B. No falla peligrosamente después de 1 falla sistemática (systematic failure) C. No falla peligrosamente después de 2 fallas aleatorias (random failure) D. Nunca tendrá 2 fallas aleatorias. 5: ¿Cuál es la mejor definición de riesgo? Viernes, 02 de Octubre 2010
Copyright (C) CFSE.ORG
Page 1 of 8
A. Consecuencia x Probabilidad de Ocurrencia. B. Probabilidad de Ocurrencia x Frecuencia. C. Consecuencia x Vulnerabilidad. D. Ocupación x Vulnerabilidad. 6: ¿Cuántas fallas sistemáticas de hardware puede soportar un sistema 2oo4 sin perder la habilidad de ejecutar su función de seguridad? A. 0 B. 1 C. 2 D. 3 7: Si a un sistema de límite de vida útil de 5 años en operación normal, es probado cada 3 años y reemplazado cada 6 años, ¿cuál es la probabilidad promedio de falla en demanda en operación normal, asumiendo una tasa de falla peligrosa de 0.01 fallas por año? A. 0.03 B. 0.015 C. 0.025 D. 0.083 E. Esta no puede ser calculada apropiadamente bajo estas condiciones. 8: ¿Cuáles de las siguientes no es típicamente una capa de protección de mitigación? A. Dique de contención. B. Servicios de emergencia. C. Supresión de fuego. D. Alarma con la intervención del operador. 9: ¿Cuál es el mejor sitio para conseguir información relacionada a los componentes del sistema de seguridad? A. IEC 61508 B. IEC 61511 C. El Manual de Seguridad del fabricante. D. Documentos de los procedimientos de la planta. 10: Un trasmisor inteligente tiene una tasa de falla de 0.08 falla/año, el porcentaje de fallas seguras es del 75% y la cobertura de diagnostico de fallas peligrosas es 20%. Si asumimos que todas las fallas peligrosas diagnosticadas serán convertidas inmediatamente en un paro seguro del proceso, ¿cuál es la probabilidad promedio de falla en demanda, si el trasmisor es probado cuatro veces por año? El tiempo medio de reparación estimado es 8 horas. A. 0.0002 B. 0.0040 C. 0.0020 D. 0.0016 Viernes, 02 de Octubre 2010
Copyright (C) CFSE.ORG
Page 2 of 8
CFSP Aplicación de Proceso
Sección 2: Respuesta Corta
EJEMPLO
Número del candidato (Sin Nombre): Por favor escriba su nombre arriba en el espacio designado. Responda la pregunta en el espacio proporcionado. Si usted necesita algún espacio adicional, por favor anexe una hoja adicional con su número de examen en ella. Asegúrese de enumerar e identificar su respuesta con el número de pregunta correspondiente en cada hoja anexa.
NOTA IMPORTANTE: Hay más de 20 puntos de preguntas en la sección de respuestas cortas del examen. Solo es requerido responder un total de 20 puntos. Usted podría elegir responder cualquier combinación de preguntas para totalizar al menos 20 puntos. Por favor indique claramente cuáles preguntas deberían y cuáles no deberían ser evaluadas como parte de los 20 puntos.
1: ¿Cómo debería ser determinado el tiempo de respuesta de una función de seguridad como parte de la preparación de las especificaciones de los requisitos de seguridad? (2 Puntos)
2: Mencione 4 aspectos que TIENEN que ser ciertos, relacionados al sistema de documentación de seguridad según 61511. (2 Puntos).
3: ¿Cuáles son las 2 diferencias principales entre modo continuo (o de alta demanda) y modo de demanda (o baja demanda), hablando de seguridad? (4 Puntos).
Viernes, 02 de Octubre 2010
Copyright (C) CFSE.ORG
Page 3 of 8
4: Nombre tres cosas que deben ser llevadas a cabo antes de modificar un sistema de seguridad, según la IEC 61511. (2 Puntos)
Viernes, 02 de Octubre 2010
Copyright (C) CFSE.ORG
Page 4 of 8
CFSP Aplicación de Proceso
Sección 1: Selección Múltiple Explicación EJEMPLO
Número del candidato (Sin Nombre): Por favor escriba su nombre arribe en el espacio designado. Solo una respuesta es la correcta. Por favor indique con un círculo solo la mejor respuesta posible.
1 : D. Fracción de Falla Segura (SFF) El SFF o fracción de falla segura, es una relación de tasas de falla y no afecta la probabilidad promedio de falla en demanda (PFDavg). Sin embargo el SFF puede afectar el nivel de integridad de seguridad (SIL) a través de los requisitos de tolerancia a falla de hardware. La Lambda D, o la tasa de falla peligrosa, afecta directamente al PFDavg, tal como lo afecta el intervalo de prueba y la cobertura de prueba periódica.
2: C. SIL 2. La función de seguridad es del tipo modo continuo, porque la demanda es muy frecuente y el diagnóstico es muy lento. Esto significa que el PFDavg no aplica y el intervalo de prueba no tiene impacto en la seguridad. Adicionalmente tampoco es posible darle crédito al diagnóstico automático. Así que la tasa de falla peligrosa efectiva es 0.0024 fallas por año, o lo que es lo mismo 2.7 x 10-7 falla por hora, lo cual está entre los limites de 10-7 7 10-6 que definen un SIL 2 para modo de operación continua.
3: D. La más baja 2oo2, 2oo3, 1oo1, 1oo2 La más alta. La arquitectura 2oo2 requiere de la acción de 2 de las 2 unidades para niciar un paro, por lo cual tiene la tasa más baja de paros espurios. La arquitectura 2oo3 también requiere de la acción de 2 elementos para indicar un paro, pero hay más unidades presentes, lo cual es más probable. Las arquitecturas 1oo1 y 1oo2 solo requieren de la acción de un elemento para iniciar un paro, por lo tanto proporcionan la más alta tasa de paro espurio. De las arquitecturas 1oo1 y 1oo2, la 1oo2 tiene más unidades presentes, por lo tanto es la de mayor tasa de paros espurios.
4: C. No falla peligrosamente después de 2 fallas aleatorias (random fail). La definición de tolerancia a fallas aplica a la habilidad de los sistemas para operar inclusive con fallas aleatorias presentes. Esto no significa que el sistema nunca falle. Inclusive esto no significa que el sistema sea inmune a las fallas sistemáticas, las cuales son capaces de causar que sistemas de altos niveles de redundancia fallen, independientemente de su tolerancia a fallas. 5: A. Consecuencia x Probabilidad de Ocurrencia. La correcta definición de riesgo incluye ambas, la gravedad del daño y que tan frecuente se espera que este ocurra. Viernes, 02 de Octubre 2010 Copyright (C) CFSE.ORG Page 5 of 8
6: A. 0 Las fallas sistemáticas son diferentes a las fallas aleatorias, y las arquitecturas redundantes por si solas no previenen que una función de seguridad falle. Por ejemplo, un simple error sistemático de especificación de rango de presión de una válvula de seguridad en un sistema redundante, podría causar que todas las válvulas fallen peligrosamente en un escenario de alta presión y así prevenir la acción de seguridad de la función de seguridad.
7: E. Esta no puede ser calculada apropiadamente bajo estas condiciones. Debido a que el sistema estará en operación sin reemplazo por más de su límite de vida útil, la tasa de falla peligrosa ya no aplica y el PFDavg no puede ser calculado. Es importante observar que los 3 años del intervalo del periodo de prueba tampoco es un soluciona el problema del límite de vida útil.
8: D. Alarma con la intervención del operador. La alarma con la intervención del operador es la única de estas capas de protección que es típicamente capaz de prevenir el accidente, a diferencia de solo reducir las consecuencias.
9: C. El Manual de Seguridad del fabricante. Aunque las normas IEC 61508 y 61511 proporcionan información valiosa acerca de los requisitos del ciclo de vida de seguridad, no contienen detalles sobre los componentes específicos del sistema de seguridad. Del mismo modo, es probable que los procedimientos de las plantas tampoco contengan la información del componente, aunque puedan referir a consultar el manual de seguridad del fabricante suministrado por el proveedor.
10 : C. 0.0020 Tomando la tasa de falla total, y multiplicándula por (1 - % fallas segura), se obtiene como resultando la tasa de falla peligrosa de 0.02 fallas por año. Luego multiplicando este valor por (1 - % cobertura de diagnóstico), se obtiene como resultando una tasa de fallas peligrosas no detectada de 0.016 fallas por años. Posteriormente, multiplicando el lambda por el tiempo y dividiendo entre 2 (ecuación del PFDavg), se obtiene como resultado 0.0020
Viernes, 02 de Octubre 2010
Copyright (C) CFSE.ORG
Page 6 of 8
CFSP Aplicación de Proceso
Sección 2: Explicación de Respuestas Cortas. Numero del candidato (Sin Nombre): Por favor escriba su nombre arriba en el espacio designado. Responda la pregunta en el espacio proporcionado. Si usted necesita algún espacio adicional, por favor anexe una hoja adicional con su número de examen en ella. Asegúrese de enumerar e identificar su respuesta con el número de pregunta correspondiente en cada hoja anexa.
NOTA IMPORTANTE: Hay más de 20 puntos de preguntas en la sección de respuestas cortas del examen. Solo es requerido responder un total de 20 puntos. Usted podría elegir responder cualquier combinación de preguntas para totalizar al menos 20 puntos. Por favor indique claramente cuáles preguntas deberían y cuáles no deberían ser evaluadas como parte de los 20 puntos.
1: ¿Cómo debería ser determinado el tiempo de respuesta de una función de seguridad como parte de la preparación de las especificaciones de los requisitos de seguridad? (2 Puntos) El tiempo de respuesta es la suma de la detección del elemento sensor, el tiempo de ejecución de la lógica, y el tiempo de accionamiento para el elemento final. Al determinar el tiempo de respuesta, primero debe considerarse el tiempo la seguridad del proceso, o el tiempo que le toma al proceso pasar del punto de disparo de la función de seguridad hacia el momento del accidente. El tiempo de respuesta de la SIF debe ser considerablemente más rápido que esto para evitar el accidente. Una regla de oro aceptada, es que el tiempo de respuesta general debe ser menos de la mitad del tiempo de seguridad. Esto ayuda a asegurar que, incluso si la situación de peligro se presenta al final de un ciclo, el SIF todavía tendrá tiempo suficiente para reaccionar.
2: Mencione 4 aspectos que TIENEN que ser ciertos, relacionados al sistema de documentación de seguridad según 61511. (2 Puntos). IEC 61511-1 sección 19.2 menciona varios aspectos como: La información debe estar disponible. La documentación debe tener identidades únicas, de manera que debe ser posible hacer referencia a sus diversas partes. La información debe tener designaciones que indiquen el tipo de información. La información debe ser trazable hasta los requisitos de esta norma. La información debe tener un índice de revisiones (números de versión) para hacer posible identificar las diferentes versiones de la información. Se debe revisar, enmendar, poner al día y aprobar toda la documentación relevante, y debe ponerse bajo el control de un esquema de información apropiado Tenga en cuenta que la pregunta se refiere a los elementos que DEBEN ser ciertos, de modo que a las respuestas de "fácil de entendimiento" y otros "DEBERÍAN" sólo se les dará crédito parcial. 3: ¿Cuáles son las 2 diferencias principales entre modo continuo (o de alta demanda) y modo de demanda (o baja demanda) hablando de seguridad. (4 puntos). Viernes, 02 de Octubre 2010
Copyright (C) CFSE.ORG
Page 7 of 8
Aunque IEC 61508 (61508-4 cláusula 3.5.12-13) e IEC 61511 (61,511 a 1 Cláusula 3.2.43.1-2) tienen ligeramente diferentes definiciones, hay una serie de diferencias prácticas aceptables y a las que se les puede hacer referencia como parte de la respuesta. Una diferencia es que la tasa de demanda es demasiada alta para que las pruebas puedan ser útiles en el modo continuo de operación, mientras que la prueba es una parte importante en el modo en demanda de operación. Otra diferencia importante es que la mayoría de las falla peligrosas no detectadas del sistema de seguridad conllevan directamente a un accidente perjudicial en el modo continuo de operación, mientras que hay otros medios (como el BPCS) de evitar el accidente en los sistemas con modo en demanda de operación. Otra diferencia es que el SIL se define por la probabilidad promedio de falla en demanda en el modo en demanda, mientras que SIL se define como la probabilidad de falla peligrosa por hora para el modo continuo.
4: Nombre tres cosas que deben ser llevada a cabo antes de modificar un sistema de seguridad, según la IEC 61511. (2 puntos) IEC 61511-1 sección 17.2 menciona varias cosas como: - Antes de realizar cualquier modificación en un sistema instrumentado de seguridad se deben aplicar procedimientos para autorizar y controlar los cambios. - Los procedimientos deben incluir un método claro para identificar y reclamar el trabajo a realizar y los peligros que pudieran resultar afectados. - Se debe realizar un análisis para determinar el impacto sobre la seguridad funcional como resultado de una modificación propuesta. Cuando el análisis muestra que la modificación impactará en la seguridad, entonces se debe retornar a la primera fase del ciclo de vida de seguridad afectada por la modificación. - No se debe comenzar la actividad de modificación sin una autorización adecuada.
Viernes, 02 de Octubre 2010
Copyright (C) CFSE.ORG
Page 8 of 8