La gestión de alarmas es la aplicación de factores humanos y ergonomía junto con ingeniería de instrumentación y pensamiento de sistemas para gestionar el diseño de un sistema de alarmas para aumentar su usabilidad . Muy a menudo, el principal problema de usabilidad es que hay demasiadas alarmas anunciadas en una alteración de la planta, comúnmente conocida como inundación de alarmas (similar a una tormenta de interrupción ), ya que es muy similar a una inundación causada por una entrada excesiva de lluvia con una capacidad de salida de drenaje básicamente fija . Sin embargo, también puede haber otros problemas con un sistema de alarma, como alarmas mal diseñadas, puntos de alarma configurados incorrectamente, anunciación ineficaz, mensajes de alarma poco claros, etc. La mala gestión de alarmas es una de las principales causas de tiempo de inactividad no planificado, que contribuye a más de $ 20 mil millones [ cita requerida ] en pérdida de producción cada año y de incidentes industriales importantes. Desarrollar buenas prácticas de gestión de alarmas no es una actividad discreta, sino más bien un proceso continuo (es decir, es más un viaje que un destino). [1]
Desde su concepción, las grandes plantas químicas, de refinación, de generación de energía y otras plantas de procesamiento requerían el uso de un sistema de control para mantener el funcionamiento exitoso del proceso y la producción de productos. Debido a la fragilidad de los componentes en comparación con el proceso, estos sistemas de control a menudo requerían una sala de control para protegerlos de los elementos y las condiciones del proceso. En los primeros días de las salas de control, se utilizaban lo que se conocía como " tableros de control " que estaban cargados con instrumentos de control e indicadores. Estos estaban vinculados a sensores ubicados en los flujos de proceso y en el exterior del equipo de proceso. Los sensores transmitían su información a los instrumentos de control a través de señales analógicas, como un bucle de corriente de 4-20 mA en forma de cableado de par trenzado. Al principio, estos sistemas simplemente proporcionaban información y se requería un operador bien capacitado para realizar ajustes, ya sea cambiando los caudales o alterando las entradas de energía para mantener el proceso dentro de los límites diseñados.
Se añadieron alarmas para alertar al operador de una condición que estaba a punto de superar un límite de diseño, o que ya había superado un límite de diseño. Además, se emplearon sistemas de parada para detener un proceso que estaba en peligro de superar los límites de seguridad, ambientales o monetariamente aceptables. Las alarmas se indicaban al operador mediante bocinas anunciadoras y luces de diferentes colores. (Por ejemplo, las luces verdes significaban OK, las amarillas significaban no OK y las rojas significaban MALO). Los tableros de control se disponían normalmente de manera que replicaran el flujo del proceso en la planta. Por lo tanto, la instrumentación que indicaba las unidades operativas con la planta se agrupaba para facilitar su reconocimiento y la solución de problemas. Era una cuestión sencilla mirar todo el tablero de control y discernir si alguna sección de la planta estaba funcionando mal. Esto se debía tanto al diseño de los instrumentos como a la implementación de las alarmas asociadas a los instrumentos. Las empresas de instrumentación dedicaban mucho esfuerzo al diseño y la disposición individual de los instrumentos que fabricaban. Para ello, empleaban prácticas de psicología del comportamiento que revelaban cuánta información podía recopilar un ser humano con un vistazo rápido. Las plantas más complejas tenían tableros de control más complejos y, por lo tanto, a menudo había más operadores o controladores humanos.
Por lo tanto, en los primeros días de los sistemas de tableros de control, las alarmas estaban reguladas tanto por el tamaño como por el costo. En esencia, estaban limitadas por la cantidad de espacio disponible en el tablero y el costo de instalar el cableado y conectar un anunciador (bocina), un indicador (luz) e interruptores para activar y desactivar una alarma resuelta. A menudo, si se necesitaba una nueva alarma, había que desechar la antigua.
A medida que la tecnología se fue desarrollando, el sistema de control y los métodos de control se encargaron de seguir avanzando en un mayor grado de automatización de la planta con cada año que pasaba. El procesamiento de materiales altamente complejos exigía metodologías de control altamente complejas. Además, la competencia global empujó a las operaciones de fabricación a aumentar la producción mientras se utilizaba menos energía y se producían menos residuos. En la época de los paneles de control, se necesitaba un tipo especial de ingeniero para comprender una combinación de los equipos electrónicos asociados con la medición y el control de procesos, los algoritmos de control necesarios para controlar el proceso (conceptos básicos de PID) y el proceso real que se estaba utilizando para fabricar los productos. A mediados de los años 80, entramos en la revolución digital. Los sistemas de control distribuido (DCS) fueron una bendición para la industria. El ingeniero ahora podía controlar el proceso sin tener que comprender el equipo necesario para realizar las funciones de control. Los paneles de control ya no eran necesarios, porque toda la información que antes llegaba a través de los instrumentos analógicos se podía digitalizar, introducir en una computadora y manipular para lograr las mismas acciones de control que antes se realizaban con amplificadores y potenciómetros.
Como efecto secundario, eso también significó que las alarmas eran fáciles y baratas de configurar e implementar. Simplemente se escribía una ubicación, un valor para la alarma y se activaba. El resultado no deseado fue que pronto la gente puso alarmas en todo. Los instaladores iniciales fijaban una alarma al 80% y al 20% del rango operativo de cualquier variable simplemente como un hábito. La integración de controladores lógicos programables, sistemas instrumentados de seguridad y controladores de equipos empaquetados ha estado acompañada de un aumento abrumador de las alarmas asociadas. [2] Otra parte desafortunada de la revolución digital fue que lo que antes cubría varios metros cuadrados de espacio en el panel, ahora tenía que caber en un monitor de computadora de 17 pulgadas. Por lo tanto, se emplearon múltiples páginas de información para replicar la información en el tablero del panel reemplazado. Las alarmas se usaban para decirle a un operador que fuera a mirar una página que no estaba viendo. Las alarmas se usaban para decirle a un operador que un tanque se estaba llenando. Cada error cometido en las operaciones generalmente resultaba en una nueva alarma. Con la implementación de las regulaciones OSHA 1910, los estudios HAZOPS generalmente solicitaban varias alarmas nuevas. Las alarmas sonaban por todas partes. Los incidentes comenzaron a acumularse a medida que se combinaban demasiados datos con muy poca información útil.
Al reconocer que las alarmas se estaban convirtiendo en un problema, los usuarios de sistemas de control industrial se unieron y formaron el Grupo de Trabajo de Gestión de Alarmas, que era un consejo asesor de clientes dirigido por Honeywell en 1990. El AMTF incluía participantes de operaciones químicas, petroquímicas y de refinación. Se reunieron y escribieron un documento sobre los problemas asociados con la gestión de alarmas. Este grupo se dio cuenta rápidamente de que los problemas de alarmas eran simplemente un subconjunto de un problema mayor y formó el Consorcio de Gestión de Situaciones Anormales (ASM es una marca registrada de Honeywell). El Consorcio ASM desarrolló una propuesta de investigación y recibió financiación del Instituto Nacional de Normas y Tecnología (NIST) en 1994. El enfoque de este trabajo fue abordar la compleja interacción entre el ser humano y el sistema y los factores que influyen en el desempeño exitoso de los operadores de procesos. Las soluciones de automatización a menudo se han desarrollado sin tener en cuenta al ser humano que necesita interactuar con la solución. En particular, las alarmas están destinadas a mejorar el conocimiento de la situación para el operador de la sala de control, pero un sistema de alarma mal configurado no logra este objetivo.
El Consorcio ASM ha elaborado documentos sobre las mejores prácticas en la gestión de alarmas, así como sobre el conocimiento de la situación por parte de los operadores, su eficacia y otros temas relacionados con ellos. En un principio, estos documentos estaban destinados únicamente a los miembros del Consorcio ASM, pero recientemente el ASMC los ha puesto a disposición del público. [3]
El consorcio ASM también participó en el desarrollo de una guía de gestión de alarmas publicada por la Asociación de Usuarios de Equipos y Materiales de Ingeniería (EEMUA) en el Reino Unido. El consorcio ASM proporcionó datos de sus empresas miembro y contribuyó a la edición de la guía. El resultado es EEMUA 191 "Sistemas de alarma: una guía para el diseño, la gestión y la adquisición".
Varias instituciones y sociedades están elaborando normas sobre gestión de alarmas para ayudar a sus miembros a utilizar las alarmas de forma óptima en los sistemas de fabricación industrial. Entre ellas se encuentran la ISA (ISA 18.2), la API (API 1167) y la NAMUR (Namur NA 102). Varias empresas también ofrecen paquetes de software para ayudar a los usuarios a abordar cuestiones de gestión de alarmas. Entre ellas se encuentran empresas de fabricación de sistemas de control distribuido y proveedores externos que ofrecen sistemas complementarios.
El propósito fundamental de la señalización de alarmas es alertar al operador de desviaciones de las condiciones normales de funcionamiento, es decir, situaciones de funcionamiento anormales. El objetivo final es prevenir, o al menos minimizar, las pérdidas físicas y económicas a través de la intervención del operador en respuesta a la condición que generó la alarma. Para la mayoría de los usuarios de sistemas de control digital, las pérdidas pueden resultar de situaciones que amenazan la seguridad ambiental, la seguridad del personal, la integridad del equipo, la economía de operación y el control de calidad del producto, así como el rendimiento de la planta. Un factor clave en la eficacia de la respuesta del operador es la velocidad y precisión con la que el operador puede identificar las alarmas que requieren una acción inmediata.
De manera predeterminada, la asignación de puntos de activación de alarmas y prioridades de alarmas constituyen la gestión básica de alarmas. Cada alarma individual está diseñada para proporcionar una alerta cuando la indicación de ese proceso se desvía de lo normal. El problema principal con la gestión básica de alarmas es que estas características son estáticas. El anuncio de alarma resultante no responde a los cambios en el modo de operación o las condiciones de operación.
Cuando se apaga un equipo importante de un proceso, como una bomba de carga, un compresor o un calentador a fuego, muchas alarmas se vuelven innecesarias. Estas alarmas ya no son excepciones independientes del funcionamiento normal. Indican, en esa situación, efectos secundarios, no críticos, y ya no proporcionan al operador información importante. De manera similar, durante el arranque o el apagado de una unidad de proceso, muchas alarmas no son significativas. Esto suele suceder porque las condiciones de alarma estáticas entran en conflicto con los criterios operativos requeridos para el arranque y el apagado.
En todos los casos de fallas importantes de los equipos, arranques y paradas, el operador debe buscar en las pantallas de anuncios de alarmas y analizar cuáles son las alarmas más importantes. Esto desperdicia un tiempo valioso que el operador debe tomar decisiones operativas importantes y actuar con rapidez. Si la avalancha de alarmas resultante se vuelve demasiado grande para que el operador la comprenda, entonces el sistema básico de gestión de alarmas ha fallado como sistema que permite al operador responder con rapidez y precisión a las alarmas que requieren una acción inmediata. En tales casos, el operador prácticamente no tiene ninguna posibilidad de minimizar, y mucho menos de prevenir, una pérdida significativa.
En resumen, es necesario ampliar los objetivos de la gestión de alarmas más allá del nivel básico. No basta con utilizar múltiples niveles de prioridad, ya que la prioridad en sí misma suele ser dinámica. Asimismo, la desactivación de alarmas en función de la asociación de unidades o la supresión de anuncios audibles en función de la prioridad no proporcionan un anuncio de alarmas dinámico y selectivo. La solución debe ser un sistema de gestión de alarmas que pueda filtrar dinámicamente las alarmas de proceso en función de la operación y las condiciones actuales de la planta, de modo que solo se anuncien las alarmas significativas en ese momento.
El propósito fundamental de la señalización de alarmas dinámicas es alertar al operador sobre situaciones operativas anormales relevantes. Estas incluyen situaciones que requieren una respuesta del operador necesaria o posible para garantizar:
Los objetivos finales no son diferentes de los objetivos básicos de gestión de anuncios de alarmas anteriores. La gestión dinámica de anuncios de alarmas centra la atención del operador eliminando alarmas extrañas, proporcionando un mejor reconocimiento de problemas críticos y asegurando una respuesta más rápida y precisa del operador. [4]
La gestión de alarmas suele ser necesaria en un entorno de fabricación de procesos controlado por un operador mediante un sistema de control de supervisión, como un DCS , un SCADA o un controlador lógico programable (PLC) . Un sistema de este tipo puede tener cientos de alarmas individuales que, hasta hace muy poco, probablemente se han diseñado teniendo muy en cuenta otras alarmas del sistema. Dado que los humanos solo pueden hacer una cosa a la vez y pueden prestar atención a un número limitado de cosas a la vez, es necesario que exista una forma de garantizar que las alarmas se presenten a un ritmo que pueda ser asimilado por un operador humano, en particular cuando la planta está alterada o en una condición inusual. Las alarmas también deben ser capaces de dirigir la atención del operador al problema más importante sobre el que necesita actuar, utilizando una prioridad para indicar el grado de importancia o rango, por ejemplo. Para garantizar una producción continua, un servicio sin fisuras, una calidad perfecta a cualquier hora del día o de la noche, debe existir una organización que implique varios equipos de personas que gestionen, uno tras otro, los eventos que se producen.
Esto se denomina más comúnmente gestión de guardias. La gestión de guardias se basa en un equipo de una o más personas (jefe de obra, personal de mantenimiento) o en una organización externa (vigilantes, centro de televigilancia). Para evitar tener una persona a tiempo completo para supervisar un solo proceso o un solo nivel, es obligatoria la transmisión de información y/o eventos. Esta transmisión de información permitirá al personal de guardia ser más móvil, más eficiente y le permitirá realizar otras tareas al mismo tiempo.
Las técnicas para lograr una reducción de la tasa varían desde las extremadamente simples de reducir las alarmas molestas y de bajo valor hasta rediseñar el sistema de alarma de una manera holística que considere las relaciones entre las alarmas individuales.
Este paso implica documentar la metodología o filosofía de cómo diseñar alarmas. Puede incluir aspectos como qué alarmar, estándares para la notificación de alarmas y mensajes de texto, y cómo interactuará el operador con las alarmas.
Esta fase es una revisión detallada de todas las alarmas para documentar su propósito de diseño y garantizar que se seleccionaron y configuraron correctamente y cumplen con los criterios de diseño. Lo ideal es que esta etapa dé como resultado una reducción de las alarmas, pero no siempre es así.
Los pasos anteriores a menudo no logran evitar una avalancha de alarmas en caso de un problema operativo, por lo que se requieren métodos avanzados como la supresión de alarmas en determinadas circunstancias. Por ejemplo, apagar una bomba siempre provocará una alarma de bajo caudal en el caudal de salida de la bomba, por lo que la alarma de bajo caudal puede suprimirse si se apaga la bomba, ya que no agrega ningún valor para el operador, porque él o ella ya sabe que fue causada por el apagado de la bomba. Por supuesto, esta técnica puede volverse muy complicada y requiere un cuidado considerable en el diseño. En el caso anterior, por ejemplo, se puede argumentar que la alarma de bajo caudal sí agrega valor, ya que confirma al operador que la bomba se ha detenido. También se deben tener en cuenta los límites del proceso (gestión de límites).
La gestión de alarmas se hace cada vez más necesaria a medida que aumenta la complejidad y el tamaño de los sistemas de fabricación. Gran parte de la necesidad de gestión de alarmas también surge porque las alarmas se pueden configurar en un DCS con un coste incremental casi nulo, mientras que en el pasado, en los sistemas de paneles de control físicos que constaban de instrumentos analógicos neumáticos o electrónicos individuales , cada alarma requería un gasto y un área de panel de control, por lo que normalmente se pensaba más en la necesidad de una alarma. Numerosos desastres como Three Mile Island , el accidente de Chernóbil y Deepwater Horizon han establecido una clara necesidad de gestión de alarmas.
[5]
Paso 1: Crear y adoptar una filosofía de alarma
Se produce un documento integral de diseño y pautas que define un estándar de planta que emplea una metodología de gestión de alarmas de mejores prácticas.
Paso 2: Evaluación comparativa del rendimiento de la alarma
Analizar el sistema de alarma para determinar sus fortalezas y deficiencias y trazar eficazmente una solución práctica para mejorarlo.
Paso 3: Resolución de alarmas de “mal actor”
Por experiencia, se sabe que aproximadamente la mitad de la carga total de alarmas proviene generalmente de un número relativamente pequeño de alarmas. Los métodos para hacer que funcionen correctamente están documentados y se pueden aplicar con un mínimo esfuerzo y una mejora máxima del rendimiento.
Paso 4: Documentación y racionalización de alarmas (D&R)
Una revisión completa del sistema de alarma para garantizar que cada alarma cumpla con la filosofía de alarmas y los principios de una buena gestión de alarmas.
Paso 5: Auditoría y cumplimiento del sistema de alarma
Los sistemas de alarma DCS son notoriamente fáciles de cambiar y generalmente carecen de la seguridad adecuada. Se necesitan métodos para garantizar que el sistema de alarma no se desvíe de su estado racionalizado.
Paso 6: Gestión de alarmas en tiempo real
A menudo se necesitan técnicas de gestión de alarmas más avanzadas para garantizar que el sistema de alarmas apoye adecuadamente al operador en todas las situaciones operativas, en lugar de obstaculizarlo. Estas incluyen tecnologías de supresión de inundaciones de alarmas, alarmas basadas en estados y supresión de inundaciones de alarmas.
Paso 7: Controlar y mantener el rendimiento del sistema de alarma
Se necesita una gestión adecuada del cambio y un análisis a largo plazo y un seguimiento de los indicadores clave de rendimiento para garantizar que los beneficios que se han obtenido con la ejecución de los pasos anteriores no se desvanezcan con el tiempo. De lo contrario, lo harán; el principio de “entropía” sin duda se aplica a un sistema de alarma.