La gestión de alarmas es la aplicación de factores humanos y ergonomía junto con la ingeniería de instrumentación y el pensamiento de sistemas para gestionar el diseño de un sistema de alarma para aumentar su usabilidad . En la mayoría de los casos, el principal problema de usabilidad es que se anuncian demasiadas alarmas en una perturbación de la planta, lo que comúnmente se conoce como inundación de alarma (similar a una tormenta interrumpida ), ya que es muy similar a una inundación causada por una entrada excesiva de lluvia con un nivel básicamente fijo. capacidad de salida de drenaje . Sin embargo, también puede haber otros problemas con un sistema de alarma, como alarmas mal diseñadas, puntos de alarma configurados incorrectamente, anuncios ineficaces, mensajes de alarma poco claros, etc. La mala gestión de las alarmas es una de las principales causas de tiempo de inactividad no planificado y contribuye a generar más de 20 mil millones de dólares. [ cita necesaria ] en pérdida de producción cada año y de incidentes industriales importantes. Desarrollar buenas prácticas de gestión de alarmas no es una actividad discreta, sino más bien un proceso continuo (es decir, es más un viaje que un destino). [1]
Desde su concepción, las grandes plantas químicas, de refinación, de generación de energía y de otro tipo de procesamiento requerían el uso de un sistema de control para mantener el proceso funcionando con éxito y produciendo productos. Debido a la fragilidad de los componentes en comparación con el proceso, estos sistemas de control a menudo requerían una sala de control para protegerlos de los elementos y las condiciones del proceso. En los primeros tiempos de las salas de control, se utilizaban los llamados " paneles " que estaban cargados con instrumentos e indicadores de control. Estos estaban vinculados a sensores ubicados en los flujos de proceso y en el exterior de los equipos de proceso. Los sensores transmitían su información a los instrumentos de control a través de señales analógicas, como un bucle de corriente de 4-20 mA en forma de cableado de par trenzado. Al principio, estos sistemas simplemente proporcionaban información y se requería que un operador bien capacitado hiciera ajustes, ya sea cambiando los caudales o alterando las entradas de energía para mantener el proceso dentro de los límites diseñados.
Se agregaron alarmas para alertar al operador sobre una condición que estaba a punto de exceder un límite de diseño o que ya había excedido un límite de diseño. Además, se emplearon sistemas de parada para detener un proceso que estaba en peligro de exceder los límites de proceso de seguridad, ambientales o monetariamente aceptables. La alarma se indicaba al operador mediante bocinas anunciadoras y luces de diferentes colores. (Por ejemplo, las luces verdes significaban OK, las amarillas significaban no OK y las rojas significaban MAL). Los tableros de paneles generalmente se disponían de una manera que replicaba el flujo del proceso en la planta. Por lo tanto, la instrumentación que indica las unidades operativas de la planta se agrupó para facilitar el reconocimiento y la solución del problema. Era sencillo observar todo el tablero del panel y discernir si alguna sección de la planta estaba funcionando mal. Esto se debió tanto al diseño de los instrumentos como a la implementación de las alarmas asociadas a los instrumentos. Las empresas de instrumentación ponen mucho esfuerzo en el diseño y la disposición individual de los instrumentos que fabrican. Para ello emplearon prácticas de psicología del comportamiento que revelaron cuánta información podía recopilar un ser humano de un vistazo rápido. Las plantas más complejas tenían paneles de control más complejos y, por lo tanto, a menudo más operadores o controladores humanos.
Por lo tanto, en los primeros días de los sistemas de paneles, las alarmas estaban reguladas tanto por el tamaño como por el costo. En esencia, estaban limitados por la cantidad de espacio disponible en la placa y el costo de instalar el cableado y conectar un anunciador (bocina), un indicador (luz) e interruptores para activar para reconocer y borrar una alarma resuelta. A menudo ocurría que si se necesitaba una nueva alarma, había que renunciar a la antigua.
A medida que se desarrolló la tecnología, se encomendó al sistema de control y a los métodos de control la tarea de seguir avanzando en un mayor grado de automatización de la planta cada año que pasaba. El procesamiento de materiales altamente complejo requería metodologías de control altamente complejas. Además, la competencia global impulsó las operaciones de fabricación a aumentar la producción utilizando menos energía y produciendo menos desechos. En la época de los paneles, se requería un tipo especial de ingeniero para comprender una combinación de equipos electrónicos asociados con la medición y el control de procesos, los algoritmos de control necesarios para controlar el proceso (conceptos básicos de PID) y el proceso real que se estaba llevando a cabo. utilizados para fabricar los productos. A mediados de los 80 entramos en la revolución digital. Los sistemas de control distribuido (DCS) fueron una gran ayuda para la industria. El ingeniero ahora podría controlar el proceso sin tener que entender el equipo necesario para realizar las funciones de control. Los paneles ya no eran necesarios, porque toda la información que antes aparecía en los instrumentos analógicos podía digitalizarse, introducirse en una computadora y manipularse para lograr las mismas acciones de control que antes se realizaban con amplificadores y potenciómetros.
Como efecto secundario, eso también significó que las alarmas fueran fáciles y económicas de configurar e implementar. Simplemente escribió una ubicación, un valor para activar la alarma y lo activó. El resultado no deseado fue que pronto la gente se alarmó por todos lados. Los instaladores iniciales configuran una alarma al 80% y al 20% del rango operativo de cualquier variable como hábito. La integración de controladores lógicos programables, sistemas instrumentados de seguridad y controladores de equipos empaquetados ha ido acompañada de un aumento abrumador de alarmas asociadas. [2] Otra parte desafortunada de la revolución digital fue que lo que antes cubría varios metros cuadrados de espacio de panel, ahora tenía que caber en un monitor de computadora de 17 pulgadas. Por lo tanto, se emplearon múltiples páginas de información para replicar la información en el panel reemplazado. Se utilizaron alarmas para indicarle a un operador que mirara una página que no estaba viendo. Se utilizaron alarmas para indicarle a un operador que se estaba llenando un tanque. Cada error cometido en las operaciones normalmente resultaba en una nueva alarma. Con la implementación de la normativa OSHA 1910, los estudios HAZOPS solían solicitar varias alarmas nuevas. Las alarmas estaban por todas partes. Los incidentes comenzaron a acumularse cuando una combinación de demasiados datos chocó con muy poca información útil.
Al reconocer que las alarmas se estaban convirtiendo en un problema, los usuarios de sistemas de control industrial se unieron y formaron el Grupo de Trabajo de Gestión de Alarmas, que era una junta asesora de clientes dirigida por Honeywell en 1990. El AMTF incluía participantes de operaciones químicas, petroquímicas y de refinación. Reunieron y redactaron un documento sobre las cuestiones asociadas con la gestión de alarmas. Este grupo rápidamente se dio cuenta de que los problemas de alarmas eran simplemente un subconjunto de un problema mayor y formó el Consorcio de Gestión de Situaciones Anormales (ASM es una marca registrada de Honeywell). El Consorcio ASM desarrolló una propuesta de investigación y recibió financiación del Instituto Nacional de Estándares y Tecnología (NIST) en 1994. El enfoque de este trabajo fue abordar la compleja interacción humano-sistema y los factores que influyen en el desempeño exitoso de los operadores de procesos. Las soluciones de automatización a menudo se han desarrollado sin tener en cuenta al ser humano que necesita interactuar con la solución. En particular, las alarmas están destinadas a mejorar el conocimiento de la situación por parte del operador de la sala de control, pero un sistema de alarma mal configurado no logra este objetivo.
El Consorcio ASM ha elaborado documentos sobre las mejores prácticas en la gestión de alarmas, así como sobre el conocimiento de la situación de los operadores, la eficacia de los operadores y otras cuestiones orientadas a los operadores. Estos documentos estaban originalmente destinados únicamente a los miembros del Consorcio ASM, pero el ASMC los ha ofrecido públicamente recientemente. [3]
El consorcio ASM también participó en el desarrollo de una directriz de gestión de alarmas publicada por la Asociación de Usuarios de Materiales y Equipos de Ingeniería (EEMUA) del Reino Unido. El Consorcio ASM proporcionó datos de sus empresas miembros y contribuyó a la edición de la guía. El resultado es EEMUA 191 "Sistemas de alarma: una guía para el diseño, la gestión y las adquisiciones".
Varias instituciones y sociedades están elaborando normas sobre gestión de alarmas para ayudar a sus miembros en el uso de mejores prácticas de alarmas en sistemas de fabricación industrial. Entre ellos se encuentran la ISA (ISA 18.2), API (API 1167) y NAMUR (Namur NA 102). Varias empresas también ofrecen paquetes de software para ayudar a los usuarios a solucionar problemas de gestión de alarmas. Entre ellos se encuentran empresas fabricantes de DCS y proveedores externos que ofrecen sistemas complementarios.
El objetivo fundamental del anuncio de alarma es alertar al operador sobre desviaciones de las condiciones normales de funcionamiento, es decir, situaciones operativas anormales. El objetivo final es prevenir, o al menos minimizar, las pérdidas físicas y económicas mediante la intervención del operador en respuesta a la condición que generó la alarma. Para la mayoría de los usuarios de sistemas de control digital, las pérdidas pueden resultar de situaciones que amenazan la seguridad ambiental, la seguridad del personal, la integridad del equipo, la economía de operación y el control de calidad del producto, así como el rendimiento de la planta. Un factor clave en la eficacia de la respuesta del operador es la velocidad y precisión con la que el operador puede identificar las alarmas que requieren acción inmediata.
De forma predeterminada, la asignación de puntos de activación de alarma y prioridades de alarma constituyen una gestión básica de alarmas. Cada alarma individual está diseñada para proporcionar una alerta cuando la indicación del proceso se desvía de lo normal. El principal problema de la gestión básica de alarmas es que estas funciones son estáticas. El anuncio de alarma resultante no responde a cambios en el modo de operación o las condiciones de operación.
Cuando una pieza importante de un equipo de proceso, como una bomba de carga, un compresor o un calentador, se apaga, muchas alarmas se vuelven innecesarias. Estas alarmas ya no son excepciones independientes del funcionamiento normal. Indican, en esta situación, efectos secundarios, no críticos y ya no proporcionan al operador información importante. De manera similar, durante el arranque o el apagado de una unidad de proceso, muchas alarmas no tienen sentido. Este suele ser el caso porque las condiciones de alarma estática entran en conflicto con los criterios operativos requeridos para el arranque y el apagado.
En todos los casos de fallas, arranques y paradas importantes del equipo, el operador debe buscar pantallas de anuncios de alarmas y analizar qué alarmas son importantes. Esto desperdicia un tiempo valioso cuando el operador necesita tomar decisiones operativas importantes y actuar rápidamente. Si la avalancha de alarmas resultante se vuelve demasiado grande para que el operador la comprenda, entonces el sistema básico de gestión de alarmas ha fallado como sistema que permite al operador responder con rapidez y precisión a las alarmas que requieren acción inmediata. En tales casos, el operador prácticamente no tiene posibilidades de minimizar, y mucho menos prevenir, una pérdida significativa.
En resumen, es necesario ampliar los objetivos de la gestión de alarmas más allá del nivel básico. No es suficiente utilizar múltiples niveles de prioridad porque la prioridad en sí misma suele ser dinámica. Del mismo modo, la desactivación de alarmas basada en la asociación de unidades o la supresión de anuncios audibles según la prioridad no proporcionan anuncios de alarma dinámicos y selectivos. La solución debe ser un sistema de gestión de alarmas que pueda filtrar dinámicamente las alarmas del proceso en función de la operación y las condiciones actuales de la planta, de modo que solo se anuncien las alarmas importantes actualmente.
El propósito fundamental de la anunciación dinámica de alarmas es alertar al operador sobre situaciones operativas anormales relevantes. Incluyen situaciones que tienen una respuesta necesaria o posible del operador para garantizar:
Los objetivos finales no son diferentes de los objetivos básicos anteriores de gestión de anuncios de alarma. La gestión dinámica de anuncios de alarmas centra la atención del operador eliminando alarmas superfluas, proporcionando un mejor reconocimiento de problemas críticos y asegurando una respuesta más rápida y precisa del operador. [4]
La gestión de alarmas suele ser necesaria en un entorno de fabricación de procesos controlado por un operador mediante un sistema de control de supervisión, como un DCS , un SCADA o un controlador lógico programable (PLC) . Un sistema de este tipo puede tener cientos de alarmas individuales que hasta hace muy poco probablemente se habían diseñado teniendo en cuenta sólo de forma limitada otras alarmas del sistema. Dado que los humanos sólo pueden hacer una cosa a la vez y pueden prestar atención a un número limitado de cosas a la vez, es necesario que haya una manera de garantizar que las alarmas se presenten a un ritmo que pueda ser asimilable por un operador humano, particularmente cuando la planta está alterada o en una condición inusual. Las alarmas también deben ser capaces de dirigir la atención del operador al problema más importante sobre el que debe actuar, utilizando una prioridad para indicar el grado de importancia o rango, por ejemplo. Para garantizar una producción continua, un servicio perfecto y una calidad perfecta en cualquier momento del día o de la noche, es necesaria una organización que implique varios equipos de personas que se ocupan, uno tras otro, de los acontecimientos que ocurren.
Esto se denomina más comúnmente gestión de guardia. La gestión de las guardias se basa en un equipo de una o más personas (director de obra, personal de mantenimiento) o en una organización externa (guardias, centro de televigilancia). Para evitar tener una persona de tiempo completo para monitorear un solo proceso o un nivel, es obligatoria la transmisión de información y/o eventos. Esta transmisión de información permitirá que el personal de guardia tenga más movilidad, sea más eficiente y pueda realizar otras tareas al mismo tiempo.
Las técnicas para lograr una reducción de la tasa van desde las extremadamente simples de reducir las alarmas molestas y de bajo valor hasta el rediseño del sistema de alarma de una manera holística que considere las relaciones entre las alarmas individuales.
Este paso implica documentar la metodología o filosofía de cómo diseñar alarmas. Puede incluir cosas como qué alarmar, estándares para el anuncio de alarmas y mensajes de texto, cómo interactuará el operador con las alarmas.
Esta fase es una revisión detallada de todas las alarmas para documentar su propósito de diseño y garantizar que se seleccionen y configuren correctamente y cumplan con los criterios de diseño. Idealmente, esta etapa dará como resultado una reducción de las alarmas, pero no siempre es así.
Los pasos anteriores a menudo aún no logran prevenir una inundación de alarmas en un problema operativo, por lo que en ciertas circunstancias son necesarios métodos avanzados como la supresión de alarmas. Por ejemplo, apagar una bomba siempre causará una alarma de bajo flujo en el flujo de salida de la bomba, por lo que la alarma de bajo flujo puede suprimirse si la bomba se apagó, ya que no agrega ningún valor para el operador, porque él o ella ya sabe fue causado por el cierre de la bomba. Por supuesto, esta técnica puede resultar muy complicada y requiere un cuidado considerable en el diseño. En el caso anterior, por ejemplo, se puede argumentar que la alarma de flujo bajo agrega valor ya que confirma al operador que la bomba efectivamente se ha detenido. También se deben tener en cuenta los límites del proceso (Boundary Management).
La gestión de alarmas se vuelve cada vez más necesaria a medida que aumenta la complejidad y el tamaño de los sistemas de fabricación. Gran parte de la necesidad de gestión de alarmas también surge porque las alarmas se pueden configurar en un DCS con un costo incremental casi nulo, mientras que en el pasado, en los sistemas de panel de control físico que consistían en instrumentos analógicos electrónicos o neumáticos individuales , cada alarma requería gastos y panel de control. área, por lo que generalmente se pensaba más en la necesidad de una alarma. Numerosos desastres como el de Three Mile Island , el accidente de Chernobyl y el Deepwater Horizon han establecido una clara necesidad de gestión de alarmas.
[5]
Paso 1: crear y adoptar una filosofía de alarma
Se produce un documento integral de diseño y pautas que define un estándar de planta que emplea una metodología de gestión de alarmas de mejores prácticas.
Paso 2: Evaluación comparativa del rendimiento de las alarmas
Analice el sistema de alarma para determinar sus fortalezas y deficiencias, y planifique de manera efectiva una solución práctica para mejorarlo.
Paso 3: resolución de la alarma de “mal actor”
Por experiencia se sabe que alrededor de la mitad de toda la carga de alarmas suele proceder de un número relativamente pequeño de alarmas. Los métodos para hacer que funcionen correctamente están documentados y se pueden aplicar con el mínimo esfuerzo y la máxima mejora del rendimiento.
Paso 4: Documentación y racionalización de alarmas (D&R)
Una revisión completa del sistema de alarma para garantizar que cada alarma cumple con la filosofía de alarma y los principios de una buena gestión de alarmas.
Paso 5: Auditoría y cumplimiento del sistema de alarma
Los sistemas de alarma DCS son muy fáciles de cambiar y generalmente carecen de la seguridad adecuada. Se necesitan métodos para garantizar que el sistema de alarma no se desvíe de su estado racionalizado.
Paso 6: Gestión de alarmas en tiempo real
A menudo se necesitan técnicas de gestión de alarmas más avanzadas para garantizar que el sistema de alarma apoye adecuadamente al operador, en lugar de obstaculizarlo, en todos los escenarios operativos. Estas incluyen tecnologías de estantería de alarmas, alarmas basadas en estados y supresión de inundaciones por alarma.
Paso 7: Controlar y mantener el rendimiento del sistema de alarma
Se necesita una gestión adecuada del cambio y un análisis a más largo plazo y un seguimiento de los KPI para garantizar que los beneficios que se han logrado al realizar los pasos anteriores no disminuyan con el tiempo. De lo contrario lo harán; El principio de "entropía" definitivamente se aplica a un sistema de alarma.