Gestión de alarmas en plantas de proceso

Transcripción

1 3 Gestión de alarmas en plantas de proceso Octavio Gómez Camargo y Guillermo Romero Jiménez Gestión de alarmas en plantas de proceso Antecedentes Los sistemas de alarmas de las plantas de proceso o generación eléctrica tienen la función de avisar al operador que una situación anómala se está presentando en el área de proceso o en los sistemas de instrumentación y control de la planta, por lo que el operador debe tomar una acción efectiva para regresar el proceso a su estado normal de operación. Asimismo, el operador debe mentener la atención sobre el área de proceso que se encuentra fuera de las condiciones normales de operación, hasta cersiorarse de que éste ha entrado a la zona normal de operación. Antes de la aparición de los sistemas de control distribuido (SCD), en las plantas de proceso se tenían anunciadores de alarmas, localizados en la parte superior y al frente del tablero de control, en un gabinete que contenía las ventanas en las cuales destellaban las variables en caso de que se salieran de los límites normales de operación y, adicionalmente, había una bocina que sonaba para alertar al operador en caso de que no estuviera mirando el gabinete de alarmas. De esta forma, el operador reconoce la alarma y toma la acción correspondiente para regresar la variable a la zona de operación normal. Durante la etapa de diseño de los anunciadores de alarmas se generaba la documentación respectiva de acuerdo con la En el proceso de administración de alarmas es importante agrupar éstas en clases, tales como: prueba, entrenamiento, monitoreo y atención de observaciones derivadas de la auditoría. ISA (Instrument Society of America) RP 18.1 Specifications and guides for the use of general purpose annunciators, la cual contiene los diagramas de alambrado desde el elemento de campo (transmisor o interruptor), hasta los elementos receptores (alarmas, indicadores, registradores y/o controladores), diagramas lógicos de control, diagramas de tuberías e instrumentación (DTI), diagramas de circuito, diagramas de escalera (eléctricos o de capas), listas de alarmas y libros de alarmas. Las listas de alarmas incluía tag y leyenda, por ejemplo: LAL 122 BAJO NIVEL EN EL DOMO SUPERIOR, esta información indicaba claramente la situación del proceso, el equipo afectado y el circuito que generaba la alarma. Asimismo, en el libro de alarmas se encontraba la especificación del anunciador de alarmas, la causa o situación del proceso que genera la alarma, el instrumento de campo que detecta la situación anómala y la transmite, el punto de ajuste o umbral de la alarma, y la descripción de la acción que debería realizar el operador para restablecer las condiciones normales de operación. Un criterio básico en el diseño de los tableros de control consistía en instalar toda la instrumentación relacionada con un equipo o una sección de la planta tan cerca como fuera posible, evitando inter-

2 4 Boletín IIE enero-marzo-2011 Divulgación calar instrumentos de diferentes áreas del proceso en la misma sección del tablero de control, por ejemplo: en unidades de generación de energía eléctrica era muy conocido el BTG (Boiler, Turbine, Generator) como tablero de control, de esta manera cuando se presentaba una alarma, inmediatamente, el operador sabía si era de la caldera o de la turbina o del generador, formándose un marco mental adecuado para responder a la alarma. Adicional a esto, los operadores sabían de memoria todas las alarmas puesto que estaban a la vista durante todo el turno. Evolución Los sistemas digitales de control (SDC) fueron sustituyendo a los antiguos sistemas neumáticos, eléctricos y electrónicos, desarrollando cada vez más recursos de software y hardware, procesando a mayor velocidad, disponiendo de mayor memoria para almacenamiento de información y desarrollando pantallas (IHM) para el despliegue de información en alta definición y amigable al operador. De esta manera, en los cuartos de control se han sustituido los tableros de control por las computadoras, denominadas estaciones de operación o estaciones de ingeniería, comunicadas con las interfaces de campo para recibir las variables del proceso y transmitir los comandos a las válvulas de control, interruptores y otros elementos finales de control. Los sistemas de alarmas se transforman en una lista que se despliega en la IHM, donde no hay limitación de hardware, y prácticamente tampoco de software. Toda variable que llega al SCD puede ser configurada como alarma, con cuatro umbrales: bajo, muy bajo, alto y muy alto, lo que ocasiona un crecimiento exponencial en la cantidad de alarmas potenciales que se pueden presentar durante la operación. Además, tampoco hay limitación de espacio, ya que cuenta con la facilidad de que en una sola pantalla se desplieguen todas las alarmas de una planta, desplazando una a la otra hasta cubrir toda la pantalla y actualizando las nuevas alarmas, así como guardando las anteriores. Los SCD proporcionan herramientas para poder evaluar el desempeño de los lazos de control, en caso de que se detecte alguna desviación en éstos, con respecto a lo esperado, se generan alarmas, las cuales se suman a la lista de alarmas del proceso, consecuentemente se incrementa la cantidad de alarmas para avisarle al operador de estas desviaciones. Con el potencial de cómputo de los SCD se pueden generar una diversidad de alarmas, tales como: alarmas absolutas, por banda muerta, mala medición, calculadas, de desviación, de discrepancia, dinámicas, diagnóstico de instrumentos, interinas, tasa de cambio, de seguridad, basada en el estado, re-alarma, estadística y adaptiva, lo cual sirve para localizar el área que presenta condiciones anormales, así como hacer un diagnóstico preciso del problema. Los SDC tienen la capacidad para configurar prioridades de las alarmas, lo cual determina el orden de atención que el operador preste según la prioridad de las alarmas, permitiéndole responder primero a las críticas, después a las pre-críticas, hasta atender las de menor prioridad. Estado actual Los SCD generan información muy rica y amigable al operador, como diagramas de barras, gráficas de tendencia, reportes de eventos en orden cronológico para su análisis posterior; sin embargo, los módulos para manejo de alarmas no fueron desarrollados en conjunto con los otros módulos de los SCD, ya que los módulos de alarmas embebidos en los SCD se limitaban a generar la alarma tal como fue configurada y desplegarla en forma de lista. Por lo tanto, al incrementarse la cantidad de alarmas configuradas se incrementó la cantidad de veces que sonaba la bocina, distrayendo la atención del operador continuamente. Además, cuando se presenta una situación anormal en la operación de la planta, se genera un torrente de alarmas que el operador no puede atender ni responder a cada una, tampoco puede discernir entre tantas cuáles son las importantes para concentrarse en éstas. Son muy conocidos los eventos catastróficos en los cuales se ha involucrado un mal desempeño de los sistemas de alarmas por varias razones, entre los que podemos mencionar: a) Se presentan más de trescientas alarmas en el primer minuto después de un disturbio grande, por lo que el operador se ve abrumado y el sistema de alarmas deja de ser una ayuda para convertirse en una carga adicional, ya que distrae continuamente su atención, sin aportar información adicional que pueda servir durante el evento; b) No se tiene una priorización adecuada para que el operador identifique cuáles alarmas atenderá primero. El operador actúa basado en su experiencia para saber cuáles alarmas atiende

3 5 primero para restaurar las condiciones normales de operación; c) La velocidad con la que se presentan las alarmas no permite al operador responder adecuadamente, lo que ocasiona que muchas de las alarmas pasen inadvertidas al operador durante un evento, llevando el proceso hacia condiciones peligrosas o hasta un evento catastrófico; d) Falta documentación de diseño para proporcionar soporte al operador, ya que en muchos casos no están documentadas las acciones que deberá realizar el operador ante la presencia de una alarma, también se desconoce el tiempo disponible para tomar la acción, así como las consecuencias de no tomar la acción correcta dentro del tiempo disponible para cambiar la tendencia de las variables durante el evento; e) Existen tantas alarmas que los operadores no las conocen todas, tampoco saben qué hacer cuando se presentan; f) Existen muchas alarmas intrascendentes que el operador sólo tiene que reconocerlas y continuar su trabajo, esto ocasiona que el operador genere un marco mental en el cual piense que las alarmas no son importantes, por lo que llega a apagar la bocina que está sonando constantemente. Sistema de alarmas El concepto de alarma evoluciona (figura 1) para conformar un sistema de alarmas que inicia con la señal generada por los elementos primarios de control (transmisores, termopares, etc.), continúa con las interfaces de entradas/salidas para acondicionar las señales de los transmisores a los sistemas digitales, éstas se comunican con los sistemas instrumentados de seguridad, el sistema de control básico de proceso, el panel de alarmas, la interface con el operador (pantallas de computadora), archivos de alarmas y el módulo de aplicaciones avanzadas de alarmas. El archivo de alarmas se comunica con el Histórico de alarmas y otros sistemas externos, cerrándose el circuito con la salida hacia el elemento final de control. Dentro del sistema de alarmas se incluyen las comunicaciones entre los diversos dispositivos y los diagnósticos que se llevan a cabo. Para que un sistema de alarmas funcione adecuadamente debe estar diseñado conforme a las normas, implementado con buenas prácticas de ingeniería, operado de acuerdo a los manuales, mantenido de acuerdo a los procedimientos establecidos y administrado con una metodología. Figura 1. Sistema de alarmas. El control Ante el crecimiento de los puntos de alarma en las plantas de proceso y los eventos que se fueron presentando durante la operación de las plantas de proceso equipadas con módulos de alarmas embebidos en los SCD se formó, en 1994, el Consorcio para la Administración de Situaciones Anormales (ASM CONSORTIUM), con la finalidad de desarrollar una mejor respuesta a los incidentes de proceso. La Asociación de Usuarios de Manufacturas, Equipos e Ingeniería (EEMUA, por sus siglas en inglés) conformó un grupo para el estudio de las situaciones anormales de operación y publicó, en 1999, el boletín: EEMUA 191 Los sistemas de alarma: Una guía para diseño, administración y procura, el cual ha tenido gran aceptación en Europa, Asia y América, convirtiéndose en el estándar para los sistemas de alarmas en plantas de proceso.

4 6 Boletín IIE enero-marzo-2011 Divulgación En 2003 la Asociación de Usuarios de Tecnologías de Control de Procesos en Industrias Químicas y Farmacéuticas (NAMUR), en Alemania, publicó la hoja de trabajo NAMUR NA-102 Administración de alarmas y, en 2009, la ISA (Sociedad Internacional para la Automatización) aprobó para su publicación la norma 18.2 Administración de sistemas de alarmas para las industrias de proceso. Estas normas regulan el diseño, la procura, instalación, pruebas, puesta en servicio, mantenimiento y administración de los sistemas de alarmas en plantas de proceso, estableciendo parámetros muy claros y precisos para que los sistemas de alarmas sean una ayuda al operador y no un mal necesario. Asimismo considera las características psicomotrices de los operadores, para responder a la cantidad de alarmas que se presentan tanto en la operación rutinaria, como al momento de un disturbio mayor. Es necesario conformar un grupo responsable del ciclo de administración de alarmas empezando por nombrar al Responsable de Alarmas, ya que esta persona coordinará todas las actividades del ciclo de administración de alarmas y a las personas encargadas de desarrollarlas. En el proceso de administración de alarmas es importante agruparlas en clases, tales como: prueba, entrenamiento, monitoreo y atención de observaciones derivadas de la auditoría. Las etapas de: Identificación (B), Racionalización (C), Diseño detallado (D), Implementación (E) y Administración de cambios (I) forman el ciclo de vida de alarmas y tienen como entradas las etapas de: Filosofía (A), Monitoreo y evaluación (E) y Auditorías (J). La etapa de Identificación (B) es un proceso que se desarrolla fuera del ciclo de vida de las alarmas y sólo se usa la entrada, consiste en determinar las necesidades de nuevas alarmas o modificar las existentes, resultado de estudios de investigación de incidentes, análisis de DTI, requerimientos de operación, así como de otros métodos formales. El resultado de esta etapa consiste en una lista de variables candidatas a alarma. La Racionalización (C) es el proceso en el cual se contrastan los requerimientos de las alarmas establecidos en el documento de Filosofía con las características de las variables candidatas a alarmas, en caso de que la variable cumpla los requerimientos se inicia la documentación que incluye: el punto de disparo, la prioridad, la acción del operador y las consecuencias en caso de que no se tome la acción correcta oportunamente. En caso contrario se retira de la lista y se documentan los requisitos que no cumplió la variable candidata a alarma. La ISA 18.2 establece el Ciclo de vida para la administración de alarmas (figura 2), consistente en diez etapas. Este ciclo describe la forma de iniciar la administración de sistemas de alarmas empezando por desarrollar el documento que describe la Filosofía (A) de alarmas, donde se enuncia el propósito y objetivos del sistema de alarmas, se establecen las normas que aplicarán en las diferentes actividades, roles, responsabilidades y perfil técnico-administrativo del personal participante, las formas de priorizar las alarmas. También se describen de manera general cada una de las etapas dentro del ciclo de administración de alarmas y la forma de mantener el documento de Filosofía de alarmas. Figura 2. Ciclo de vida de la administración de alarmas.

5 7 La etapa de Diseño detallado (D) comprende dos secciones, una es en cuanto al disparo o activación de la alarma y la otra sobre la presentación de la misma en la IHM. En la primera se definen los atributos de las alarmas, tales como: puntos de disparo, banda muerta, prioridades, requerimientos de retrasos y tipo de alarma. En el diseño detallado de la alarma que será desplegada en la IHM se deberá incluir, entre otras cosas: fecha, hora, tag, estado, prioridad, tipo, leyenda, indicando la condición anómala del proceso y el equipo involucrado. Se diseñarán las funcionalidades para reconocer y restablecer las alarmas, así como la conformación de archivos para análisis post-evento. La etapa de Implementación (E) se refiere a las actividades que se llevarán a cabo para instalar la alarma, probarla, entrenar a los operadores, documentar los resultados y ponerla en operación. Las etapas de Operación (F), Mantenimiento (G), y Monitoreo y Evaluación (H) forman un ciclo dentro del cual las alarmas tienen la capacidad de cumplir con su función de avisar al operador que una parte del proceso se encuentra en una condición anormal y que se requiere la intervención del mismo. Etapa de Operación (F), dado que ante la presencia de una alarma siempre se requiere que el operador tome una acción positiva sobre el proceso, todos los procedimientos de respuesta a las alarmas deben estar de forma accesible al operador, estos incluirán: tipo de alarma, punto de disparo, causas potenciales, consecuencias de la desviación, acción correctiva y tiempo máximo permitido de respuesta y clase de alarma. Asimismo, deben documentarse ampliamente los procedimientos para archivar alarmas según su clase y cómo se informa de un turno a otro. También deberán definirse los requerimientos de re-entrenamiento periódico de los operadores y cómo tratar con las alarmas en mantenimiento y los cambios surgidos de las mejoras en dichos sistemas. En la etapa de Mantenimiento (G) se cubrirán los procedimientos para probar las alarmas, la forma de reemplazo y la reparación. Este es el proceso mediante el cual una alarma está en operación, sale de servicio y regresa al estado operativo. Es importante contar con procedimientos muy específicos para sacar de operación una alarma, notificar a todos los involucrados al quitar y poner en servicio la alarma, así como las necesidades de reentrenamiento de los operadores. Monitoreo y evaluación (H). En esta etapa se verifica que el diseño, la implementación, la operación y mantenimiento cumplen los requisitos o metas del sistema. El monitoreo consiste en la medición y reporte de aspectos cuantitativos en el desempeño del sistema de alarmas. La evaluación es la comparación de la información de monitoreo en conjunto con otros aspectos cualitativos contra las metas de desempeño del sistema. Métricas de desempeño Como se ha comentado, el sistema de alarmas debe de ser una ayuda al operador y, de ninguna manera, rebasar las capacidades de respuesta del operador ante la presencia de alarmas, tampoco puede considerarse el sistema de alarmas como un mal necesario o una herramienta que sólo distrae al operador. Por esto, en las normas se establecen métricas que no son obligatorias, pero sí una buena guía para determinar si el sistema es de gran ayuda al operador o es una carga adicional a sus funciones. De acuerdo a los estudios de respuesta de los operadores ante el anuncio de alarmas, se encontró que una alarma en un período de 10 minutos puede considerarse aceptable para que el operador pueda responder a ella, sin embargo, hay períodos de gran actividad debido a disturbios grandes en la operación, en los cuales no debe rebasarse la cantidad de 10 alarmas en 10 minutos en promedio, en caso contrario el operador no podrá responder adecuadamente a cada una de las alarmas que se presenten. Es común que previo a un disturbio grande se presente una avalancha de alarmas en las que se excede las 10 alarmas en 10 minutos, sin embargo, estos períodos no deben de rebasar el 1% de los períodos de 10 minutos analizados. El operador trata constantemente con tres tipos de alarmas problemáticas principalmente: repetitivas, espurias y antiguas. Las alarmas repetitivas son aquellas que se anuncian y desaparecen en forma frecuente sin la intervención del operador; las espurias son las que se anuncian, desaparecen y tardan en volver a anunciarse, tampoco requieren la intervención del operador, y las alarmas antiguas son las que continuamente permanecen en estado de alarma por más de un día. Distribución de prioridades. Se deben de establecer prioridades con la finalidad de orientar al operador en cuanto al orden

6 8 Boletín IIE enero-marzo-2011 Divulgación en que debe de atender las alarmas cuando se presentan más de una a la vez. Por ejemplo, la norma EEMUA 191 indica que es recomendable tener tres niveles de prioridades: crítica, pre-crítica y de planta o alta, media y baja. Estas prioridades se asignarán en función de dos factores: a) las consecuencias que ocurrirían en caso de que no se tomara la acción correctiva y b) el tiempo disponible que tiene el operador para tomar la acción correctiva. En la evaluación de las consecuencias se deben considerar los daños que pueden ocasionarse como: daños en los equipos de proceso, pérdida de material, emisiones contaminantes, producción defectuosa, disparos de planta y daños al personal. Para determinar el tiempo disponible para responder a la alarma, deberán tomarse en cuenta los tiempos desde que se presenta el disturbio, lo que tarda el elemento primario en detectarlo, el tiempo que toma en transmitirlo, el procesamiento de la alarma, la reacción del operador, el tiempo propio de la acción, la transmisión hasta el elemento final de control y la dinámica de la variable de proceso para cambiar la tendencia. Las normas recomiendan tener como máximo 5% de alarmas críticas, 15% de alarmas pre-críticas y el resto de planta. En la tabla 1 se muestran los valores recomendados para estos indicadores. Administración de cambios (I). En esta etapa se deben de documentar todas las modificaciones, adiciones y cancelaciones de alarmas. Se debe poner especial atención cuando se agregan alarmas al sistema, deben presentar evidencias de que cubrieron los requisitos de cada una de las etapas del ciclo de administración de alarmas (etapas B, C, D y E) y que consideraron las directrices establecidas en el documento de FILOSOFÍA DE ALARMAS. Para cancelar una alarma debe autorizarse por el personal responsable de la gestión del sistema de alarmas. Los cambios en los atributos deben ser revisados y autorizados por las entidades técnicas responsables, principalmente operación e instrumentación. Auditorías (J). La auditoría tiene el propósito de mantener la integridad del sistema de alarmas y de los procesos de administración de alarmas. Además, verifica que se cumplan las prácticas del ciclo de administración de alarmas conforme a los procedimientos y que éstos estén conforme a la Filosofía de alarmas. Después de una etapa de mejora a los sistemas de alarmas se debe aplicar una auditoría para verificar que todos los procesos se llevaron a cabo Tabla 1. Indicadores clave de desempeño. INDICADOR Tasa promedio de alarmas anunciadas por operador Tasa pico promedio de alarmas anunciadas por operador conforme a la Filosofía de alarmas. Además, se deben desarrollar planes para corregir las áreas de mejora detectadas. Cómo mejorar el desempeño de su sistema de alarmas? La mayoría de los sistemas de alarmas configurados en los SCD s, que actualmente están en operación, no tomaron en cuenta las recomendaciones de ISA 18.2 ni de EEMUA 191 y cada proveedor estableció su propia metodología para identificar, diseñar, configurar, probar, poner en servicio y mantener el sistema de alarmas. Durante la operación de las plantas de proceso se van degradando los instrumentos y los sistemas, las condiciones de operación se van modificando debido a cambios en las materias primas, en los servicios auxiliares y en las condiciones atmosféricas, por lo que es necesario implantar una metodología uniforme conforme a las normas internacionales, VALOR Una alarma desplegada en un período de 10 minutos en promedio. (1 alarma/10 min) promedio. Menos de 10 alarmas en 10 minutos. Avalanchas de alarmas Menos de 1% de los períodos de 10 minutos reportados. Alarmas repetitivas 0 Alarmas espurias 0 Alarmas antiguas 0 DISTRIBUCIÓN DE PRIORIDADES: PORCENTAJES: BAJA MEDIA ALTA 80% 15% 5%

7 9 para que el operador cuente con el sistema de alarmas como una ayuda adecuada para tratar las situaciones anormales de operación. Para mejorar el desempeño del sistema de alarmas se sugiere llevar a cabo las siguientes acciones: 1. Aplicar auditoría de inicio al sistema de alarmas La auditoría debe ser una revisión a los documentos de diseño, registros de mejoras, adiciones y cancelaciones de puntos de alarma, datos históricos de operación y toma de datos en línea, referente a cuántas alarmas se presentan durante una semana típica de operación divida en intervalos de 10 minutos, a fin de obtener los indicadores mencionados en el apartado de métricas. Además, en la planta se debe contar con el documento en donde se defina la Filosofía de alarmas y el libro de alarmas, al menos con los siguientes datos: tag, leyenda, causas que originan la alarma, acciones correctivas del operador y la prioridad de cada alarma. Debe haber un responsable del sistema de alarmas, que conozca todo el ciclo de administración de éstas. 2. Definir el NIVEL DE DESEM- PEÑO deseado del sistema de alarmas La norma EEMUA 191 establece cinco niveles de desempeño de los sistemas de alarmas, denominados: SOBRE- CARGADO, REACTIVO, ESTABLE, ROBUSTO Y PREDICTIVO. El nivel de desempeño SOBRECAR- GADO corresponde a un sistema de alarmas que es difícil de usar en condiciones normales de operación e ignorado durante un disturbio grande, el operador no confía en el sistema, no puede discriminar las alarmas importantes de las que no requieren atención, falta documentación de diseño y de operación, se presentan muchas alarmas sin significado que distraen al operador y, normalmente, se tiende a apagar la bocina del sistema de alarmas, por lo que el sistema representa más una sobrecarga de trabajo que una ayuda al operador. En el nivel de desempeño REACTIVO el operador reacciona más a la tasa de alarmas que al detalle en particular de cada alarma, el sistema es estable y útil durante la operación normal de la planta, pero a menudo es olvidado cuando se presenta un disturbio grande, sin embargo, el sistema da algunos avisos tempranos de que se avecina un disturbio grande, se presentan constantes períodos con alta actividad de alarmas, existe el documento de Filosofía de alarmas, pero no se sigue fielmente, sólo se controlan los cambios importantes. Hay algunos mecanismos basados en papel para control de alarmas deshabilitadas, pero no son muy efectivos dado que se puede olvidar cuáles alarmas están deshabilitadas. El nivel de desempeño ESTABLE corresponde a un sistema que es confiable durante la operación normal y proporciona avisos de que un disturbio grande es inminente, los operadores confían en la priorización de alarmas y reaccionan rápido y de manera certera ante las alarmas críticas, las cuáles están siempre a la vista en la pantalla del operador. Todas las alarmas son importantes, accesibles y tienen una acción definida del operador, ya que el sistema proporciona ligas de un solo paso hacia los diversos esquemas del operador y se tienen disponibles, pero no integradas al SCD, las respuestas del operador ante cada alarma. En el nivel de desempeño ROBUSTO se tienen sistemas de alarmas que son confiables en todos los modos de operación, incluyendo grandes disturbios, los operadores disponen del tiempo suficiente para leer y entender todas las alarmas, se tiene en línea, integrado en el SCD, el documento con las acciones del operador y las posibles consecuencias en caso de que no sea efectiva la acción, el sistema de alarmas ajusta automáticamente de acuerdo al modo de operación de la planta, mostrando sólo las alarmas que son importantes de acuerdo a las condiciones actuales de la planta, el SCD proporciona un manejo óptimo de alarmas, la mayoría de éstas son tratadas dinámicamente, de tal forma que sólo se despliegan al operador cuando hay una respuesta apropiada. Hay un proceso completo de mejora continua de los sistemas de alarmas. En el nivel de desempeño PREDIC- TIVO el sistema de alarmas es estable en todo momento y proporciona información correcta y oportuna al operador para evitar disturbios mayores, o bien, minimizar las consecuencias en caso de que sea imposible evitarlos. El promedio de alarmas en 10 minutos es menor a 1, el promedio máximo de alarmas en 10 minutos es menor a 10. A cada alarma se le asocia un componente inteligente para proporcionar información adicional del tiempo disponible antes de que se presente el disturbio, realiza diagnósticos automáticos según el patrón de opera-

8 10 Boletín IIE enero-marzo-2011 Divulgación ción, tiene la función de filtrado avanzado de alarmas para determinar la causa raíz y se cuenta con sistemas expertos que soportan al operador para que tome las acciones adecuadas antes que se vuelvan críticas. Después de aplicar la auditoría de inicio se determinará el nivel de desempeño del sistema de alarmas, y a partir de éste se podrá establecer el nivel de desempeño objetivo. La norma EEMUA191 recomienda ir paso a paso, es decir, que en caso de que un sistema de alarmas se encuentre en el nivel de desempeño SOBRECARGADO se tienen que tomar las acciones pertinentes para llevarlo al nivel de desempeño REACTIVO y así sucesivamente. Sin embargo, en la práctica es posible que un sistema en el nivel de desempeño SOBRECARGADO se pueda llevar al nivel de ESTABLE, considerando cada una de las etapas del ciclo de vida de administración de alarmas. Para llevar un sistema de alarmas al nivel de desempeño ROBUSTO o PREDIC- TIVO se requiere un amplio conocimiento del proceso, de los equipos y de los diferentes modos de operación de la planta, así como implementar técnicas avanzadas para manejo de alarmas, tales como: reconocimiento de patrones, alarmas basadas en el estado operativo de la planta o del equipo, redes neuronales, lógica difusa, razonamiento basado en conocimiento y razonamiento basado en modelo. 3. Retirar del sistema de alarmas los registros que no son alarmas Con la aparición de los SCD la cantidad de alarmas subió del orden de centenas al orden de millares, debido a que se configuraron muchos registros que no cumplen con los requisitos para ser alarmas. Las normas establecen que para que una variable sea candidata a alarma, debe cumplir las siguientes características como mínimo: a) representar una situación anormal del proceso, b) esta situación anormal potencialmente podría causar daños al equipo o a la producción o al ambiente o a las personas, c) deberá de tener una acción definida del operador para evitar las consecuencias y que pueda restablecer las condiciones normales de operación y d) que el tiempo disponible para responder a la emergencia sea como máximo de 30 minutos. En caso de que el tiempo de respuesta del operador sea mayor a 30 minutos se puede configurar una alerta, es decir, cuando la variable no cumpla con los requisitos debe considerarse como evento o bien como alerta. En la operación normal de las plantas de proceso existen alarmas que sólo anuncian un cambio de estado, pero que es parte de la operación normal, por lo que este evento se debe de anunciar al operador por otro medio y no a través del módulo de alarmas.

9 11 4. Depurar las alarmas que forman la base de datos Las alarmas deben tener otras características como: una leyenda clara, concisa y completa, sintonizar los umbrales y la banda muerta de alarmas repetitivas. Las alarmas deben ser priorizadas como CRITICAS, PRECRÍTICAS y de PLANTA. Deben ser oportunas, y avisar con el tiempo exacto para que el operador tome la acción correctiva, de otra manera, en caso de que avise con demasiada anticipación, la alarma estaría repitiéndose con frecuencia y podría desaparecer sin que el operador tome una acción. Asimismo, si avisa cuando el operador ya no dispone del tiempo necesario para tomar la acción, se generarían disparos de planta innecesarios. Finalmente, se deben revisar los parámetros de los lazos de control para dejar estable el proceso. 5. Mantener el ciclo de vida de la administración de alarmas El grupo responsable de la administración de alarmas debe mantener el monitoreo y evaluación constante, así como tener un programa de auditorías, a fin de que no se degrade el sistema sino que tienda a mejorar hasta llegar a ser una ayuda adecuada al operador para la protección y estabilidad de la planta. Conclusiones Los sistemas de alarmas configurados actualmente en los sistemas de control distribuido tienen los elementos suficientes para proporcionar la ayuda necesaria al operador para que tengan un desempeño aceptable, en el nivel de ESTABLE, requiriendo un trabajo de ingeniería para desarrollar los procedimientos para operación y mantenimiento de los sistemas de alarmas, adecuaciones a cada una de las alarmas, así como ajustes y cambios de parámetros. Asimismo, se requiere adoptar una metodología para la administración de los sistemas de alarmas que incluyan el monitoreo, control de cambios, auditorías y mejora continua. Otro rubro muy importante es la capacitación de todo el personal relacionado con los sistemas de alarmas, ya sean operadores, personal de diseño y de mantenimiento. En conclusión, invertir en los sistemas de alarmas significa ganar en seguridad de la planta y continuidad de la operación, evitando disparos innecesarios y consecuencias desastrosas, como equipos dañados y pérdida de producción. Bibliografía EEMUA 191 (1997/2007): Alarm systems: a guide to design, management and procurement. ISA RP (2009): Management of alarm systems for process industries. NAMUR 102: Alarm management (2003/2008). GUILLERMO ROMERO JIMÉNEZ [gromero@iie.org.mx] Doctor en Control Automático por el Politécnico de Grenoble, Francia en 1996, Maestro en Ingeniería Eléctrica, especialidad en Electrónica de Potencia por el Centro de Graduados del Tecnológico de la Laguna en 1986 e Ingeniero Industrial en Electrónica por el Instituto Tecnológico de la Laguna en Ingresó al IIE en Es autor de varios artículos relacionados con el modelado de sistemas de control en tiempo real y actualmente es el Gerente y responsable del área de plataformas para el desarrollo de aplicaciones de sistemas tutoriales inteligentes en capacitación y adiestramiento de la Gerencia de Simulación. OCTAVIO GÓMEZ CAMARGO [ogomez@iie.org.mx] Maestro en Ingeniería Química de la Facultad de Química de la Universidad Nacional Autónoma de México (UNAM). Ingeniero Químico egresado de la Escuela Nacional de Estudios Profesionales de Cuatitlán, perteneciente a la UNAM. Ingresó al IIE en agosto de 1981, participando en la especialidad de instrumentación de procesos como Jefe de Proyecto. En 1993 recibió el nombramiento de Coordinador de la Especialidad de Integración de Sistemas de Control Digital. Ha publicado diversos artículos nacionales e internacionales, en los temas relacionados a instrumentación, control de procesos y administración de proyectos de innovación tecnológica. Actualmente es investigador de la Gerencia de Control e Instrumentación. De izquierda a derecha: Guillermo Romero Jiménez y Octavio Gómez Camargo.