Introduccin a los Sistemas SIL

1.0

Sistema de Seguridad Instrumentado.

Los Sistemas de Seguridad Instrumentados (SIS), son utilizados frecuentemente para reducir los
procesos peligrosos en plantas de produccin. Para cada proceso de peligro potencial, se realiza
un diseo especfico para detectar esta situacin y, automticamente, tomar las medidas
necesarias para prevenir o mitigar dicho suceso peligroso. Estas acciones estn implementadas
por las Funciones Instrumentalizadas de Seguridad (SIF).
Un Sistema de Seguridad Instrumentado incluye mltiples funciones en una nica funcin simple
(una por cada condicin de peligro potencial).
Cada SIF recoge y analiza informacin de los sensores para determinar si se produce una
condicin peligrosa y, consecuentemente, comienza la secuencia de parada para llevar el proceso
a un estado seguro. Estos sistemas de control, son denominados safety related y una condicin
potencialmente peligrosa se denomina demanda.
La mayora de SIS estn basados en el concepto de intervencin en desexcitacin. En
condiciones normales de trabajo las entradas y salidas estn excitadas.
El SIS est formado por una instrumentacin y/o controladores que estn instalados con la
finalidad de prevenir o mitigar el peligro, o de llevar el proceso a un estado seguro en presencia de
una demanda de seguridad. Se considera que en estos casos se han infringido ciertas
condiciones predeterminadas en el proceso, tales como alarmas de presin, temperatura, nivel,
etc.
Los SIS se utilizan para cualquier proceso en el que el anlisis del peligro requiera su presencia.
La disponibilidad de un SIS depende:

De las cuotas y modos de avera de los componentes (o subconjuntos)

De la arquitectura de los componentes (1oo1, 1oo2D, 2oo2, 2oo3, etc.)
De los circuitos de votacin
De la cobertura diagnstica
De la frecuencia de las pruebas peridicas

Las acciones programadas para prevenir o mitigar los sucesos peligrosos, consisten en la
apertura de un contacto para desexcitar un circuito elctrico. Esta accin es denominada: trip.

Introduccin a los Sistemas SIL

Para cada SIF, se determina un Factor de Reduccin de Riesgo (RRF).

Los estndares IEC 61508 y IEC 61511, cubren en detalle todos estos aspectos de seguridad.
Una de sus funciones bsicas es la identificacin del grado y severidad de las operaciones
peligrosas y consecuentemente la obtencin del factor de reduccin al mnimo riesgo, que
requieren los SIF para una operacin aceptable de la planta.
1.1

Factor de Reduccin de Riesgo (RRF) y Nivel de Integridad de la Seguridad (SIL).

El RRF de un SIF est determinado por la probabilidad media de fallo bajo demanda, de acuerdo
con la ecuacin:
RRF = 1/ PFD avg
Los niveles SIL requeridos por un SIF corresponden a diferentes valores de RRF de acuerdo con
la siguiente tabla.
SIL de Integridad
PFDavg
Nivel de la
Probabilidad
Seguridad
media de fallo en
demanda por ao
(baja demanda)

RRF
Factor de
Reduccin de
Riesgo

PFDavg
Probabilidad
media de fallo
bajo demanda
por hora (alta
demanda)

SIL 4

10-5 to < 10-4

100000 to 10000

10-9 to < 10-8

SIL 3

10-4 to < 10-3

10000 to 1000

10-8 to < 10-7

SIL 2

10-3 to < 10-2

1000 to 100

10-7 to < 10-6

SIL 1

10-2 to < 10-1

100 to 10

10-6 to < 10-5

Tabla 1: Nivel de Integridad de la Seguridad y probabilidad de fallo en demanda de acuerdo con los estndares
IEC 61508 y IEC 61511

1.2

Concepto general para la declaracin del nivel SIL.

La Tabla 1 identifica los rangos de la probabilidad de fallo aceptable de un SIF, para cada
requerimiento SIL en condiciones de operacin de modo en demanda alto o bajo.
El PFDavg indicado es asignado a cada SIF en un SIS.
El PFDavg de cada SIF resulta de la combinacin de los PFDavgs de cada uno de los
componentes del SIF.
Cada nivel SIL difiere del otro en un factor de 10 veces el PDFavg aceptable.

Introduccin a los Sistemas SIL

1.3

Valoracin de niveles de SIL. (el papel del PFDavg).

Saber que dos diferentes equipos de seguridad disponen del mismo nivel SIL, no es suficiente
para realizar una evaluacin completa del sistema. Es necesario conocer, adems, el valor de
PFDavg, ya que para el mismo nivel de SIL los valores PFDavg puede ser de 1 a 10 veces
diferente.
Un valor bajo de PFDavg permite reducir su contribucin al clculo total del nivel SIL del SIF y,
habitualmente, aumentar el T-proof del sistema.

1.4

Periodo de validez del nivel SIL (mejor y peor PFDavg).

La tabla anterior, indica el PFDavg requerido para un nivel de SIL en el momento inicial (p. ej. en
la puesta en marcha), sin considerar que dicho PFD se degrada con el tiempo.
La probabilidad de fallo de cualquier equipo y por lo tanto el PFD de un SIF, aumenta con el
tiempo y debe ser considerada para todas las aplicaciones.
Esto quiere decir que el PFDavg indicado por el fabricante de un equipo, es el valor medio durante
un periodo indicado de tiempo (el intervalo T-proof).
Para equipos con el mismo nivel de SIL, es recomendable utilizar el que disponga del T-proof ms
largo, desde el punto de vista de disponibilidad y mantenimiento.
1.5

Variacin del PFD en el tiempo (riesgo de reduccin del nivel SIL).

Dado que la probabilidad de fallo en demanda de un equipo aumenta con el tiempo, este valor se
puede mantener bajo control mediante la creacin de tests de seguridad de mantenimiento cada
ciertos intervalos de tiempo.
El grfico siguiente muestra como, siguiendo ese proceso, el PFD (en azul) recupera su estado
inicial.
La determinacin de esos intervalos de tiempo est estrictamente relacionada con el nivel de SIL
necesario y el valor de PFDavg del equipo. La lnea roja representa el valor medio de PFD
(PFDavg).
Se establece un testeo peridico, especificado por el fabricante, denominado T-proof Test
(Intervalo de pruebas peridicas) que permite identificar cualquier avera en el mecanismo del
equipo que no es directamente detectable (avera peligrosa no detectable), ste es un grado de
efectividad que afectar al posterior valor programado de PFDavg.
Si la efectividad est entre el 99-100 %, el equipo se puede considerar "como nuevo" desde el
punto de vista de averas, si est por debajo de 100% (70-80-90%), el nivel de SIL requerido
puede haberse reducido o perdido.

Introduccin a los Sistemas SIL

Figura 1, Marcha de PFD y PFDavg en el tiempo con pruebas peridicas

La duracin del intervalo de prueba tambin afecta al valor del PFDavg del equipo y,
consecuentemente, del SIF (ver ecuacin y ejemplos posteriormente).

2.0

Arquitecturas de sistemas de seguridad

De entre las diferentes arquitecturas posibles para sistemas y subsistemas de seguridad, cabe
destacar como bsicas las siguientes:

Arquitectura 1oo1 (uno sobre uno). Configuracin simple. Una sola entrada con una nica
salida. El ejemplo de un fallo en la funcin de seguridad del rel podra ser el contacto
soldado (pegado) que no se abre cuando se le solicita hacerlo.

Arquitectura 1oo2 (uno sobre dos). En esta arquitectura el sistema tiene las salidas
conectadas en serie, suponiendo los contactos cerrados y los rels normalmente
energizados. Uno sobre dos significa que basta que intervenga un solo canal para efectuar
un bloqueo. En el funcionamiento de modo peligroso, fallar la funcin de seguridad de
este sistema slo si ambos contactos de los rels estn soldados y no consiguen abrirse.
Si un solo contacto est soldado, el otro puede efectuar igualmente el bloqueo de
seguridad del sistema.

Arquitectura 2oo2 (dos sobre dos). El sistema dual 2oo2 tiene las salidas conectadas en
paralelo. As pues, ambos canales deben desenergizar para efectuar un bloqueo ya sea
falso o seguro. Este sistema fallar al bloquear la funcin de seguridad si uno solo de los
rels est pegado (con una avera peligrosa). Ya que el sistema tiene dos veces el
hardware del sistema individual, tendr dos veces la probabilidad de averiarse de manera
peligrosa.

Introduccin a los Sistemas SIL

Arquitectura 1oo3 (una sobre tres). Esta configuracin es denominada tambin TMR (Triple
Modular Redundant) o sistema de triple redundancia. La razn principal de una triple
redundancia se deba a que, en los aos 80, los sistemas basados en el ordenador tenan
una capacidad de autodiagnstico limitada. Por ejemplo, si haba dos seales redundantes
no iguales, no era siempre posible determinar la correcta. Aadiendo el tercer canal se
resolva el problema. Ahora la triple redundancia se usa slo para aplicaciones en las se
exija un funcionamiento seguro durante largos perodos, es decir en que los sistemas o las
mquinas no pueden ser detenidos para pruebas y mantenimientos durante 5 ms aos.
Otra aplicacin es alcanzar el nivel de integridad de la seguridad SIL 3, all donde se
dispone slo de un dispositivo, o subsistema, SIL 1, permitiendo al subsistema dos fallos
de la funcin de seguridad y continuar todava seguro

Arquitectura 2oo3 (dos sobre tres). Esta configuracin es un sistema que funciona con
mayora simple, es decir, aquello que indica dos o ms entradas, es lo que el sistemas
adopta como salida. Comparando con arquitecturas anteriores, no es mejor que la 1oo2
para los bloqueos de seguridad y no es mejor que la 2oo2 para los bloqueos falsos. Sin
embargo, las arquitecturas tradicionales 1oo2 2oo2 son vlidas slo para los bloqueos de
seguridad o para los bloqueos falsos causados por averas. En cambio, la arquitectura
2oo3 es vlida tanto para los bloqueos seguros como para los falsos.

1oo1

A
1oo2

A
A
2oo3

2oo2

B
C

S
e
l
e
c
.
c

Figura 2, Esquema de principio de algunas arquitecturas

Introduccin a los Sistemas SIL

3.0

Ecuaciones y ejemplos aclaratorios de las consideraciones anteriores.

+
PLC Canal 1
Sensor
de Tx

Barrera
S.I.

Circuito
de
entrada

Circuitera
Comn de
Logic Solver

Circuito
de
salida

Elemento
Final

_
Tpico 1oo1 SIF

3.1

Influencia de la eficacia de las pruebas peridicas en el clculo PFDavg.

Para cada componente del SIF, cuando la eficacia de prueba peridica para revelar fracasos
peligrosos es del 100 %, la ecuacin del PFDavg se simplifica a:
PFDavg =DU

TI
2

cuando la eficacia no es del 100 %, la ecuacin del PFDavg se simplifica a:

TI
PFDavg = (Et DU ) + (1- Et)
2

DU

SL
2

donde:
Et: eficacia diagnstica de las pruebas peridica (p.ej. el 90 %)
SL: intervalo de tiempo entre dos test completos (con eficacia del 99 al 100%) o entre dos
sustituciones o el tiempo de vida estimado si nunca ser testado al 99 100% o si
nunca ser sustituido.
para TI = 1 ao y SL = 12 aos, la ecuacin del PFDavg se simplifica a :

PFDavg TI=1,SL=12 = (Et

DU
12

) + (1- Et)DU
2
2

Introduccin a los Sistemas SIL

Ejemplo 1:
DU = 0.01 / ao
TI = 1 ao
Et = 90% = 0.9
SL = 12 aos
Al principio de la instalacin (el nuevo sistema):
PFDavg = 0.01 / 2 = 0.005 / ao
RRF = 1 / PFDavg = 1 / 0.005 = 200
Despus de un ao:
PFDavg = (0.9 x 0.01 / 2) + (0.1 x 0.01 x 6 ) = 0.0105
RRF = 1 / PFDavg = 1 / 0.0105 = 95
Despus de un ao (as como despus de cada test peridico posterior), se ha pasado de
nivel SIL 2 a SIL 1.

Ejemplo 2:
DU = 0.01 / ao
TI = 1 ao
Et = 99% = 0.99
SL = 12 ao
Despus de un ao:
PFDavg = (0.99 x 0.01 / 2) + (0.01 x 0.01 x 6) = 0.0056
RRF = 1 / PFDavg = 1 / 0.006 = 178
Tras un ao, as como al final de todo test peridico posterior el nivel SIL 2 se ha mantenido.

Introduccin a los Sistemas SIL

4.

Estudio de caso prctico.

Calcular los valores de MTBF, PFDavg, RRF para un posible nivel SIL de utilizacin y MTBFS para
bloqueos falsos, del siguiente SIF compuesto por un transmisor, una barrera de
alimentacin/repeticin de la seal, un PLC/DCS de seguridad y una vlvula como elemento final;
durante un intervalo de test peridico (TI) de un ao para una arquitectura 1oo1.
Los siguientes datos son facilitados por los fabricantes: (SI = Seguridad Intrnseca):
Transmisor de SI:
Alim-repetidor de SI:
Controlador / PLC:
Vlvula de bloqueo:

MTBF = 100 aos;

MTBF = 330 aos;
MTBF = 500 aos;
MTBF = 40 aos;

DU = 0,008/ao; S = 0,001/ao
DU = 0,0002/ao; S = 0,002/ao
DU = 0,0005/ao; S = 0,001/ao
DU = 0,025/ ao; S = NA

Donde:

: Cuota de averas total, que incluye las cuotas seguras (detectadas y no detectadas)
y las peligrosas (detectadas y no detectadas) = SD + SU + DD + DU;
MTBF: Tiempo medio entre dos fallos sucesivos;
PFDavg: Probabilidad media de fallo en demanda;
RRF: Factor de reduccin del riesgo;
NA = No disponible.

Sub-sistema

MTBF
(aos)

=
1/MTBF
por ao

MTBFs=
1/ S (aos)

PFDavg
1oo1 =
DU/2

% del
RRF =
PFDavg
1/PFDavg
total

Transm.

100

0,010

1000

0,001

0,0080

0,0040

23,7 %

250

SIL 2

Barrera
D1014S

330

0,003

500

0,002

0,0002

0,00010

0,06 %

9090

SIL 3

PLC

500

0,002

1000

0,001

0,0005

0,00025

0,15 %

4000

SIL 3

Vlvula

40

0,025

n/d

0,0250

0,01250

76,9 %

80

SIL 1

Totales (SIF)

25

0,040

250

0,004

0,0337

0,01685

100 %

59

SIL 1

S / ao DU / ao

Posible
Uso
Mx SIL

Tabla 1, Arquitectura del sistema 1oo1 con TI para 1 ao

4.1

Observacin 1

A pesar de tener subsistemas de nivel SIL 2 y SIL 3, el nivel mximo al que puede aspirar esta
funcin es SIL 1 ya que la vlvula tiene un RRF de 80 vlido slo para el nivel SIL 1.
Qu se podra hacer para obtener un nivel SIL 2 de toda la funcin de seguridad (RRF de al
menos 100 en lugar de 89)?
Se presentan tres soluciones posibles:

Poner dos vlvulas en redundancia en arquitectura 1oo2, en cuyo caso el valor del
PFDavg pasara de 0,0125/ao a 0,0002/ao. Pero esta solucin podra presentar
algunas dificultades prcticas en su realizacin.
Una solucin ms simple consiste en poner en lnea dos vlvulas a conectar con bypass. En caso de necesidad de sustitucin de una vlvula, para someterla a test

Introduccin a los Sistemas SIL

peridico, la instalacin no se detendra porque se conectara la otra vlvula de

recambio. De esta manera, en lugar de tener un intervalo de prueba peridico de un
ao (slo para la vlvula), se podra dejar en 4 meses.
As, el PFDavg pasara de 0,0125/ ao a 0,004/4 meses y, en consecuencia, el valor
del RRF a 250.
Esto conduce el PFDavg de toda la funcin a 0,00835, es decir a un valor de RRF de
120 vlido para un SIL 2.
El mismo resultado se podra obtener haciendo un Partial Stroking Test (PST) de la
vlvula.

Con la segunda solucin, la nueva tabla de valores sera:

Tabla 2,

=
MTBFs=
1/MTBF
/ ao
1/ S (aos) S
por ao

DU / ao

PFDavg
1oo1 =
DU/2

% del
PFDavg
total

RRF =
1/PFDavg

Posible
Uso
Mx SIL

0,001

0,0080

0,0040

47,4 %

250

SIL 2

500

0,002

0,0002

0,00010

1,2 %

10000

SIL 3

0,002

1000

0,001

0,0005

0,00025

3,0 %

4000

SIL 3

40

0,025

n/d

0,0080
/ 4 meses 0,00400

48,4 %

250

SIL 2

25

0,040

250

0,004

100 %

120

SIL 2

Sub-sistema

MTBF
(aos)

Transm.

100

0,010

1000

Barrera
D1014S

330

0,003

PLC

500

Vlvula
Totales (SIF)

0,0167

0,00835

Arquitectura del sistema 1oo1 con TI para 1 ao (excepto vlvulas)

4.2

Observacin 2.

El PFDavg de cada componente tiene un porcentaje propio respecto a la totalidad representada

por el loop.
En los manuales de seguridad funcional de los componentes de la SIF, los fabricantes indican los
valores de PFDavg obtenidos de los entes de certificacin.
Estos entes, al efectuar el clculo del nivel SIL correspondiente, aplican un acuerdo por el que el
valor de PFDavg es pesado en base al porcentaje que representara dentro del loop.
En la siguiente tabla mostramos un ejemplo de valores porcentuales en lnea con este criterio:
Subsistema
Transmisor
Barrera
PLC
Vlvula
Totales (SIF)

PFDavg 1oo1 (%)

25 %
10 %
30 %
35 %
100 %

Tabla 3, Valoracin del PFDavg para una arquitectura de sistema 1oo1

Obviamente, esta subdivisin no se menciona en las normativas, pero se aplica cada vez que se
someten componentes o subsistemas a la certificacin. Esto no impide que los diseadores
puedan decidir otra cosa basndose en algunas SIF especficas, sobre el peso de los valores de

Introduccin a los Sistemas SIL

PFDavg dentro de las mismas.

Tomemos como ejemplo una barrera de seguridad intrnseca: la misma deber tener como
mximo el 10% del PFDavg total, es decir que, para estar cualificada para el nivel SIL 3 tendr
que tener efectivamente los valores especificados en la Tabla 1, para SIL 4 (se recuerda que el
factor de multiplicacin entre un nivel y otro es de 10). Lo mismo que vale para la barrera vale
tambin para el resto de subsistemas, por lo que cuando se leen los datos certificados del valor
del PFDavg, hay que controlar si stos son equilibrados dentro de la funcin de seguridad
deseada.
En el caso en concreto (los datos se refieren a la barrera de GM modelo D1014S), la barrera
puede ser utilizada en efecto para un nivel SIL 3, porque al ocupar 1,2% del PFDavg total de la
funcin, esto est permitido.
Es evidente que el diseador podra decidir aceptar, para el nivel SIL de una determinada SIF,
incluso un porcentaje del 20% en lugar del 10%.
Dado que el nivel SIL de la SIF es SIL 2, entonces la barrera conservar su funcionalidad incluso
para un intervalo de prueba peridica de 10 aos (como se indica en el manual de seguridad). De
hecho, decuplicando el valor de PFDavg de un ao tendremos un valor de 0,001 que es siempre
inferior al 10% del valor indicado en la Tabla 1 para el nivel SIL 2 (0,01).

4.3

Observacin 3.

La SIF tiene un nivel de integridad de la seguridad SIL 2. UN MTBF de 25 aos. Un MTBFS de 250
aos, en cambio, podemos esperar bloqueo de seguridad cada 60 aos (1 / 0,0167 = 1 / DU SIF)
siempre que se efecten los tests peridicos segn la tabla:
Subsistema
Transmisor
Barrera
PLC
Vlvula

Intervalo Tests peridicos

1 ao
10 aos
5 aos
4 meses

Tabla 4, Arquitectura de sistema 1oo1 con optimizacin del T-proof

Todo esto es vlido slo si durante los tests peridicos se consigue diagnosticar el 100% (o un
porcentaje muy cercano al 100%) de los valores de DU de cada uno de los componentes de la SIF.
En la prctica se pueden alcanzar valores entre el 70 y el 90%. Estos valores deben ser
claramente indicados por el fabricante en el manual de seguridad del subsistema.
En caso de que no fuera as, los encargados del mantenimiento no podrn efectuar los tests y
calcular su fiabilidad.
Las correcciones deberan ser usadas tanto por los diseadores como por los encargados del
mantenimiento de la planta.
Los datos de fiabilidad, la descripcin detallada de los tests peridicos, adems del porcentaje de
las cuotas de averas peligrosas no detectadas, que debera ser detectada por los tests manuales,
deben ser incluidos en el manual de seguridad funcional del producto y solicitadas al proveedor
previamente.

10

Introduccin a los Sistemas SIL

4.4

Observacin 4.

Qu hay que hacer cuando no sean conocidos ni estn certificados los valores de los distintos
subsistemas que componen la funcin de seguridad?
Esto puede suceder sobre todo para los elementos finales como vlvulas y accionadores u otros
dispositivos mecnicos y electromecnicos. Las normativas no dan indicaciones en este sentido.
Normalmente el MTBF es un dato facilitado por el fabricante o que se puede obtener en los
informes de mantenimiento de la instalacin. Partiendo de esto, se puede calcular la cuota de
averas global = 1 / MTBF.
Una buena regla es considerar toda esta cuota como correspondiente a averas peligrosas no
detectadas. Sin embargo, la solucin ms usada actualmente es la del Partial Stroking Test de la
vlvula, cuando sea posible.
Esto permite detectar aproximadamente el 180% (85%) de las posibles averas llevando la cuota
del 100% de los DU al 20%. De este modo, el nivel SIL 2 estar ms al alcance de la mano.

11

Introduccin a los Sistemas SIL

5.0

Estrategias para un mantenimiento ms seguro y ms fcil de un Sistema

Instrumentado de Seguridad.

5.1

Consideraciones finales

5.2

El nivel de SIL de un solo equipo da una visin parcial e incompleta de la solucin, para
una aplicacin de SIF dada.

En el Manual de Seguridad de un equipo se debe facilitar la siguiente informacin:

o MTBF
o Ratio de averas seguras y peligrosas
o Valor de PFDavg para 1-3-5-10 aos de operacin continua
o Intervalo de pruebas peridicas (T-proof time)
o Procedimiento de prueba peridica y su porcentaje de eficacia para detectar las
averas peligrosas no detectables.

Para recuperar los niveles iniciales de PFD y, por consiguiente, el nivel de SIL de cada
componente de un SIF es imprescindible disponer de un Plan de Mantenimiento
programado del sistema.

El mantenimiento formado como testeo peridico de un intervalo de pruebas peridicas

requiere, normalmente, la instalacin de un by-pass de los equipos sujetos al test. Esto
implica, habitualmente, algunos criterios de operacin. Los intervalos de tiempo deben ser
lo ms largos posibles y el procedimiento de pruebas debe ser seguro, efectivo y lo ms
rpido posible.
Consideraciones a la hora de seleccionar componentes para sistemas de seguridad:

1) Para el mismo SIL, seleccionar equipos con el ms bajo PFDavg y el ms alto intervalo de
Pruebas Peridicas.
2) Considerar tambin el TTR (tiempo de reparacin) as como, el T-proof (escoger el que
disponga del tiempo de reparacin inferior).
3) Tener en cuenta los porcentajes de eficacia del proof test y recalcular el valor PFDavg
para verificar si ese valor es todava vlido para el nivel SIL requerido.
4) Escoger un nivel de SIL superior al requerido, si es posible, para mejorar y aumentar los
intervalos de pruebas peridicas. Esto, reduce los costes de mantenimiento.
Nota: un equipo con un nivel SIL 3 para 1 ao, puede ser utilizado en un SIF con SIL 2 durante
intervalos proof test de 5 o 10 aos, dependiendo del valor de PFDavg.

12