Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual de Seguridad
Manual de Seguridad
Tambin disponible:
Manual de seguridad 4 Sistemas de control relacionados
con la seguridad de maquinaria.
Esta prctica gua trata los principios relativos a la seguridad de
la maquinaria, adems de la legislacin, la teora y la prctica.
Nmero de publicacin: SAFEBK-RM002B
Seguridad funcional en
la industria de proceso
Principios, normas e implementacin
Captulo 2
Captulo 3
Captulo 4
Captulo 5
Captulo 6
Captulo 7
Captulo 8
Captulo 9
Captulo 10
Captulo 11
Captulo 12
Captulo 13
Captulo 14
Captulo 15
Captulo 16
Captulo 17
Captulo 18
Captulo 19
Captulo 20
Captulo 21
Parte 1
IEC 61511-1, 11, 12
Fase de diseo para los sistemas
instrumentados de seguridad
Parte 1
IEC 61511-1, 13, 14, 15: Prueba de aceptacin de fbrica, instalacin y puesta en
marcha y validacin de seguridad de los sistemas instrumentados de seguridad
Parte 1
IEC 61511-1, 16, 17, 18: Funcionamiento y mantenimiento, modificacin y readaptacin,
desmantelamiento o desecho de los sistemas instrumentados de seguridad
Elementos de respaldo
Parte 1
IEC 61511-1, 2: Referencias
IEC 61511-1, 3: Definiciones y abreviaturas
IEC 61511-1, 4: Cumplimiento con la normativa
IEC 61511-1, 5: Gestin de la seguridad funcional
IEC 61511-1, 6: Requisitos del ciclo de vida de la seguridad
IEC 61511-1, 7: Verificacin
IEC 61511-1, 19: Requisitos de informacin
IEC 61511-1, Anexo A: Diferencias
Parte 2
IEC 61511-2: Gua para la aplicacin de la parte 1
Parte 3
IEC 61511-3: Gua para la determinacin de los
niveles de integridad de seguridad requeridos
Figura 1: Estructura de la norma
En otras palabras debe tomarse una decisin basada en el riesgo. En caso de falta de
experiencia, cierta participacin externa aumentara la credibilidad de la declaracin.
1.5.3. Consecuencias de la falta de conformidad
Puesto que la norma no es una ley, ya sea que usted cumpla con sus requisitos o no, usted
debe ser consciente de las consecuencias de la falta de conformidad. Como empleado,
responsable a cargo o responsable del riesgo, usted tiene la obligacin, conforme a la Ley
de Salud y Seguridad en el Trabajo, de controlar el riesgo en su lugar de trabajo.
Esta norma proporciona un enfoque sistemtico a la gestin de todas las actividades del
ciclo de vida de seguridad para sistemas que acostumbran a desempear funciones de
seguridad y constituye, por lo tanto, una fuente adecuada de informacin y de tcnicas.
En caso de que algo saliera mal y, como consecuencia, alguien resultara herido o
enfermara y usted no hubiera utilizado la mejor informacin a su disposicin sobre la
gestin del riesgo en cuestin, estara en riesgo de ser investigado y procesado de
acuerdo con la Ley de Salud y Seguridad en el Trabajo.
La informacin que recopile y el anlisis que realice sobre el cumplimiento de los
requisitos de la norma IEC 61511 se convierten de forma efectiva en su defensa ante
los tribunales en caso de que algo vaya mal.
10
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Requisitos de seguridad
Especificacin para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
11
12
13
14
11. Planificacin
2. Asignacin
de requisitos
O/P de seguridad.
I/P
3. Especificacin
requisitos de
O/P seguridad
I/P
I/P
4. Diseo e
ingeniera
O/P
Realizacin de cada SIF conforme a la especificacin de requisitos
de seguridad SIS
15
Diseo y
desarrollo de
otras medidas
16
5. Instalacin,
puesta en marcha
O/P y validacin
I/P
17
I/P
6. Funcionamiento,
mantenimiento
O/P y reparacin
I/P
O/P
18
7. Modificacin
8. Desmantelamiento
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Requisitos de seguridad
Especificacin para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 8.1, es determinar:
Los peligros/eventos peligrosos del proceso y del equipo asociado, la secuencia
de eventos que lleva al peligro y a los riesgos del proceso implicados [3.2 3.7];
Los requisitos de la reduccin de riesgos [5 y 6];
Las funciones de seguridad necesarias para conseguir la reduccin de riesgos
necesaria [7 y 8].
19
20
21
Depsito
Bomba
La finalidad del diseo de esta pequea seccin de la planta podra ser hacer circular de
forma continua agua de enfriamiento a una temperatura de X C y a una tasa de XXX
litros/hora. Normalmente, los estudios HAZOP se dirigen a esta finalidad del diseo de
nivel bajo. El uso de la palabra desviacin resulta ahora ms sencillo de comprender.
Una desviacin o divergencia respecto a la finalidad del diseo en el caso de nuestras
instalaciones de enfriamiento de agua sera la reduccin del flujo de circulacin o el
aumento de la temperatura del agua.
Tenga en cuenta la diferencia entre la desviacin y su causa. En el caso anterior, el fallo de
la bomba sera una causa, no una desviacin.
En este ejemplo, el aumento en la temperatura del agua sera el peligro, ya que tendra el
potencial de ocasionar daos como, por ejemplo, lesiones personales, efectos nocivos en
el medio ambiente o perjuicios al negocio.
3.6. Tcnica de estudios HAZOP
Los estudios HAZOP se utilizan para identificar peligros potenciales y problemas de
operabilidad ocasionados por desviaciones respecto a la finalidad del diseo, tanto en
plantas de procesos nuevas como existentes. Por lo general estos estudios se llevan a
cabo peridicamente durante la vida til de la planta. Por supuesto debe realizarse un
estudio HAZOP inicial o preliminar en los momentos iniciales de la fase de diseo. El
proceso debe revisarse a medida que progrese el desarrollo y siempre que se propongan
modificaciones importantes y, por ltimo, al final del desarrollo para garantizar que no
existan riesgos residuales antes de la fase de construccin.
22
Puesto
Presidente
Secretaria
Ingeniero de procesos
Usuario/operario
Especialista C e I
Encargado de
mantenimiento
Representante del
equipo de diseo
23
24
25
26
PT102
P
Importacin
lquido
Exportacin
gas
XV102
FCV102
LH
LH101
TT100
LL
LL101
Quemador
FCV100
XV100
Exportacin
lquido
XV101
Suministro
gas combustible
FCV100
Figura 9: Cmara separadora
27
Ref.
Peligro
28
Temperatura baja en la cmara.
No creble.
No creble.
No creble.
Nivel elevado en la cmara.
Menos
Retroceso
Tambin
Otro
Ms
Menos
Retroceso
Tambin
Otro
01.16
01.17
01.18
01.19
01.20
01.21
01.22
01.23
01.24
Nivel
No creble.
No creble.
No creble.
Temperatura elevada en la cmara.
Retroceso
Tambin
Otro
Ms
01.12
01.13
01.14
01.15
Temperatura
Menos
No creble.
No creble.
No creble.
Presin elevada en la cmara.
01.11
01.07
01.08
01.09
01.10
Retroceso
Tambin
Otro
Ms
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Los daos del equipo en la rama descendente requieren la sustitucin
de la cmara valorada en 10M y una interrupcin del proceso de
6 meses.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
01.06
01.04
Ninguna.
Consecuencia
Los daos del equipo en la rama descendente requieren la sustitucin
de la cmara valorada en 10M y una interrupcin del proceso de
6 meses.
Flujo elevado de lquido de proceso Un flujo elevado en la cmara puede dar lugar
en la cmara.
a un nivel elevado, con arrastre de lquido a la
exportacin de gas.
Desviacin
01.05
Menos
Palabra gua
secundaria
Ms
Presin
Palabra gua
primaria
Flujo
01.03
01.02
01.01
Consecuencia
Un nivel elevado en la
cmara puede dar lugar a
arrastre de lquido a la
exportacin de lquido.
La temperatura elevada
conlleva presin elevada,
rotura de la cmara y
liberacin de gas.
Baja temperatura,
congelacin potencial del
lquido (solidificacin),
rotura de la cmara y
prdida de contencin.
29
Probabilidad de
que ocurra
4
Media
Crtica
Baja
Alta
3
2
1
1
Gravedad de la consecuencia
30
31
No creble.
No creble.
No creble.
Presin elevada en la cmara.
01.05
01.06
01.07
01.08
01.09
01.10
32
Un nivel bajo en la cmara puede dar lugar a Los daos del equipo en la rama descendente requieren la limpieza de la cmara
valorada en 2M y una interrupcin del proceso de 6 semanas.
fuga de gas en la exportacin de lquido.
No creble.
No creble.
No creble.
Nivel elevado en la cmara.
No creble.
No creble.
No creble.
01.16
01.17
01.18
01.19
01.20
01.21
01.22
01.23
01.24
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Ninguna.
Los daos del equipo en la rama descendente requieren la sustitucin
de la cmara valorada en 10M y una interrupcin del proceso de
6 meses.
Ninguna.
Ninguna.
Ninguna.
No creble.
No creble.
No creble.
Temperatura elevada en la
cmara.
01.12
01.13
01.14
01.15
01.11
Ninguna.
Ninguna.
Ninguna.
Un flujo bajo hacia la cmara puede dar lugar Los daos del equipo en la rama descendente requieren la limpieza de la cmara
valorada en 2M y una interrupcin del proceso de 6 semanas.
a un nivel bajo, fuga de gas en el lquido.
01.04
Ninguna.
01.02
Consecuencia
01.03
Peligro
Desviacin
Ref.
01.01
RPN
Accin
Considerar la instalacin
de una alarma de nivel
bajo.
Considerar la instalacin
de una alarma de nivel
elevado.
Considerar la instalacin
de una alarma de nivel
elevado.
Considerar la instalacin
de una alarma de nivel bajo.
Considerar la instalacin
de una alarma de nivel bajo.
Considerar la instalacin
de una alarma de nivel
elevado.
Ninguna.
Ninguna.
Ninguna.
Control de nivel.
Ninguna.
Ninguna.
Ninguna.
Control de nivel.
Considerar la instalacin
de una alarma de nivel bajo.
Considerar la instalacin
de una alarma de nivel
elevado.
de una alarma de
temperatura baja.
de una alarma de
temperatura elevada.
Ninguna.
Ninguna.
Ninguna.
Control de temperatura. Considerar la instalacin
Control de presin.
Ninguna.
Ninguna.
Ninguna.
Control de presin.
Ninguna.
Control de nivel.
Control de nivel.
Ninguna.
Control de nivel.
Dispositivos de
seguridad
Control de nivel.
Peligro
Consecuencia
Accin
Accin
asignada
Fecha de
finalizacin
01.01
Un flujo elevado en la
cmara puede dar lugar
a un nivel elevado, con
arrastre de lquido a la
exportacin de gas.
Daos al equipo en la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
elevado.
S Smith
C&I_Dept
14/04/12
01.02
Daos al equipo en la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
bajo.
S Smith
C&I_Dept
14/04/12
01.04
Daos al equipo en la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
bajo.
S Smith
C&I_Dept
14/04/12
01.05
Daos al equipo en la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
elevado.
S Smith
C&I_Dept
14/04/12
01.10
Rotura de la cmara y
liberacin de gas.
Considerar la
instalacin de una
alarma de presin
elevada.
J Jones Process
Dept
21/04/12
01.11
Rotura de la cmara y
liberacin de gas.
Considerar la
instalacin de una
alarma de presin
baja.
J Jones Process
Dept
21/04/12
01.15
Una temperatura
elevada conlleva
presin elevada, rotura
de la cmara y
liberacin de gas.
Considerar la
instalacin de una
alarma de
temperatura
elevada.
V White
C&I_Dept
21/04/12
01.16
Congelacin potencial
del lquido, rotura de la
cmara y prdida de
contencin.
Daos al equipo.
Emisiones al medio
ambiente.
Considerar la
instalacin de una
alarma de
temperatura baja.
V White
C&I_Dept
21/04/12
01.20
Un nivel elevado en la
cmara puede dar
lugar a arrastre de
lquido a la
exportacin de gas.
Daos al equipo en la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
elevado.
S Smith
C&I_Dept
14/04/12
01.21
Un nivel bajo en la
cmara puede dar
lugar a fuga de gas a la
exportacin de lquido.
Daos al equipo en la
rama descendente.
Considerar la
instalacin de una
alarma de nivel
bajo.
S Smith
C&I_Dept
14/04/12
33
34
35
10 -1/ao
Incidente
10 -2/ao
Menor
10 -3/ao
Moderado
10 -4/ao
Importante
10 -5/ao
Grave
10 -6/ao
Catastrfica
Gravedad
<10 -6 /ao
VL
Nunca constatado
en ninguna industria/
tipo de trabajo
10 -6 10 -5/ao
VL
Nunca constatado
en ninguna industria/
tipo de trabajo
10 -5 10 -4/ao
VL
10 -4 10 -3/ao
VL
10 -3 10 -2/ao
VL
VH
Verosimilitud
Constatado en
Ocurre varias
Ocurrido
la industria/tipo
veces en el
en el negocio
de trabajo
negocio
10 -2 10 -1/ao
VL
VH
VH
Ocurre en las
instalaciones
10 -1 1/ao
VH
VH
VH
Ocurre varias
veces en las
instalaciones
>1/ao
VH
VH
VH
VH
Ocurre varias
veces al ao en
las instalaciones
Claramente los riesgos que son muy altos resultan obviamente inaceptables (por ejemplo,
fumar al estar embarazada) y en otras situaciones en las que el riesgo es tan bajo que
resulta insignificante (por ejemplo, hervir leche). Por supuesto, el rea de discusin ms
interesante es la zona intermedia de riesgo tolerable. La tarea es, por lo tanto, definir las
dos condiciones lmite:
entre un riesgo inaceptable y tolerable;
entre un riesgo tolerable y aceptable.
El documento orientativo de la HSE sobre reduccin de riesgos y proteccin de personas
(R2P2) [19.3] propone que un riesgo individual de fallecimiento de 1 en 1,000,000 al
ao, tanto para empleados como para la poblacin general corresponde a un nivel de
riesgo muy bajo y debe usarse como lmite de riesgo ampliamente aceptable
(insignificante).
El documento R2P2 sugiere asimismo que un riesgo individual de fallecimiento de 1 en
1000 al ao debera representar la condicin lmite entre lo que es apenas tolerable en
una categora sustancial de trabajadores durante gran parte de su vida laboral, y lo que
es inaceptable para cualquiera, a excepcin de grupos de carcter bastante excepcional.
En el Reino Unido, el objetivo de la salud y la seguridad laboral es alcanzar un nivel al que
prcticamente toda la poblacin pudiera estar expuesta a diario, sin efectos adversos.
En el caso de la poblacin general que est sometida a riesgos, este lmite est
considerado en un orden de magnitud inferior a 1 en 10,000 al ao.
Los criterios adoptados por la HSE pueden demostrarse en un marco denominado
tolerabilidad del riesgo (TOR), (Figura 12). Ah se han identificado los criterios de riesgo
individual mximo tolerable y de riesgo ampliamente aceptable.
36
rea
no aceptable
10-3 pa
Riesgo creciente
Riesgo creciente
rea
no aceptable
rea
tolerable
10-6 pa
rea
ampliamente
aceptable
10-4 pa
rea
tolerable
10-6 pa
rea
ampliamente
aceptable
37
Menor/Grave
Grave/Fatdica
-3
Empleados
10
Poblacin general
10-4
Fatdica mltiple
-4
10-5
10-5
10-6
10
Menor/Grave
Grave/Fatdica
Fatdica mltiple
Empleados
10-5
10-6
10-6
Menor/Grave
Grave/Fatdica
-3
Empleados
10
Poblacin general
10-4
Fatdica mltiple
-4
10-5
10-5
10-6
10
Menor/Grave
Grave/Fatdica
Fatdica mltiple
Empleados
10-5
10-6
10-6
38
Mltiples
vctimas
Gravedad de la consecuencia
Riesgo mximo
tolerable
empleado
Riesgo mximo
tolerable
poblacin general
Una
vctima
Lesiones
Riesgo insignificante
10-6
10-5
10-4
Frecuencia (/ao)
39
10-3
40
Principio ALARP
5. Principio ALARP
5.1. Beneficios y sacrificios
Al usar razonablemente practicable se establecen objetivos para los responsables a
cargo, en vez de prescribir. Esta flexibilidad supone una gran ventaja, ya que permite a los
responsables a cargo seleccionar el que consideren el mejor mtodo, por lo que apoya la
innovacin, aunque tambin tiene sus inconvenientes. Decidir si un riesgo cumple el
principio ALARP puede representar un reto, ya que para establecer un criterio se requiere
la opinin de los responsables a cargo y de asesores.
Las principales pruebas aplicables a la regulacin de riesgos industriales incluyen
determinar si:
a) el riesgo es tan elevado que debe rechazarse totalmente;
b) el riesgo es, o se ha hecho, tan pequeo como para resultar insignificante;
c) el riesgo se clasifica entre los dos estados especificados en los apartados
a) y b) anteriores, y se ha reducido a un nivel Tan bajo como resulte
razonablemente practicable.
El concepto razonablemente practicable resulta difcil de cuantificar. Implica que es
preciso realizar un cmputo en el que la reduccin adicional de riesgo que pueda
obtenerse est equilibrada con respecto al sacrificio que supone conseguirla (en dinero,
tiempo o problemas). Si existe una desproporcin excesiva entre ambos, es decir, si el
beneficio es insignificante con relacin al coste, el riesgo se considera ALARP.
As, la demostracin de que se han reducido los riesgos de acuerdo al principio ALARP
implica una evaluacin de:
el riesgo que debe evitarse;
el sacrificio (en dinero, tiempo y problemas) que supone adoptar medidas para
evitar dicho riesgo;
una comparacin entre ambos.
Este proceso puede abarcar diferentes grados de rigor, que dependen de:
la naturaleza del peligro;
el alcance del riesgo;
las medidas de control que deben adoptarse.
No obstante, los responsables a cargo (y el regulador) no deben asumir una carga
excesiva si no se justifica dicho rigor. Cuanto mayor sea el nivel de riesgo inicial que
se est considerando, mayor ser el grado de rigor necesario.
41
42
Principio ALARP
ALARP y no puede utilizarse como argumento frente a obligaciones legales, no puede
justificar riesgos intolerables ni justificar ingeniera evidentemente deficiente.
Entre los costes justificables que pueden tenerse en cuenta en un anlisis de costebeneficio se incluyen:
Instalacin;
Funcionamiento;
Formacin;
Todo mantenimiento adicional;
Prdidas comerciales derivadas de cualquier interrupcin ocasionada con el
nico propsito de introducir la medida;
Intereses derivados de produccin postergada; por ejemplo, petrleo o gas
restante en un campo petrolfero/de gas mientras se llevan a cabo trabajos en
una plataforma;
Todos los costes declarados deben ser aquellos en que haya incurrido el
responsable a cargo (no se tendrn en cuenta los costes en que hayan incurrido
las dems partes, por ejemplo, la poblacin general);
Los costes que deben considerarse deben ser nicamente aquellos
necesarios para implementar la medida de reduccin de riesgos (sin aadir
funcionalidades costosas e innecesarias ni adoptando medidas de lujo).
Entre los beneficios justificables que pueden declararse en un anlisis de coste-beneficio
pueden incluirse todos los beneficios derivados de implementar una medida de
mejora de seguridad en su conjunto, de modo que no se subestimen de modo alguno.
Los beneficios deben incluir todas las reducciones de riesgo a la poblacin general, a
trabajadores y a la comunidad en general, y entre ellos pueden incluirse:
Fallecimientos evitados;
Lesiones evitadas (de ms graves a menos graves);
Enfermedades evitadas;
Daos medioambientales evitados, si son relevantes (por ejemplo, COMAH).
Entre los beneficios declarados puede incluirse asimismo la elusin del despliegue de
servicios de emergencia y la elusin de contramedidas como la evacuacin y la
descontaminacin posterior al accidente, si se estimara oportuno. No obstante, para
comparar los beneficios de implementar una mejora de seguridad contra los costes
asociados, la comparacin debe establecerse sobre una base comn. Un mtodo sencillo
para llevar a cabo un primer filtro de medidas es indicar los costes y los beneficios en un
formato comn de al ao durante la vida til de una planta.
43
Lesin
Enfermedad
Menor
207,200
20,500
300
193,100
530
20 vctimas mortales;
40 personas con lesiones permanentes;
100 heridos graves;
200 heridos leves.
44
Principio ALARP
Respuestas: De eliminarse el riesgo de explosin, los beneficios podran evaluarse del
siguiente modo:
Vctimas mortales:
Personas con lesiones
permanentes:
Personas con lesiones
graves:
Personas con lesiones
leves:
Beneficios totales
6684
2072
512
=
=
15
9283
45
10,000/3.6 x 10-4
27.8M
El VPF calculado es > 10 veces el criterio de coste objetivo vida salvada de 2M y, por lo
tanto, la propuesta debe rechazarse.
46
Fuego fbrica
Frecuencia
peligro
Uno cada 2 aos
Frecuencia de letalidad
Figura 17: Frecuencia de mortalidad
47
Alarma de humo
Fuego fbrica
Frecuencia
peligro
Uno cada 20 aos
Frecuencia de letalidad
48
Riesgo inherente
al proceso
Intervalo de riesgo
10-4/ao
1/ao
Frecuencia peligro
Podemos entonces contabilizar los dispositivos de seguridad que pueden ya existir para
reducir la frecuencia del peligro, como por ejemplo una alarma (Figura 20). En este caso, la
alarma reduce la frecuencia de la consecuencia del peligro mediante su probabilidad de
fallo a demanda (PFD). Por lo tanto se reduce el intervalo de riesgo, pero el riesgo residual
general, a pesar de ser menor, sigue siendo mayor que el riesgo mximo tolerable.
49
Riesgo inherente
al proceso
PFD = 0.1
Alarmas
Intervalo de riesgo
10-4/ao
0.1/ao
1/ao
Frecuencia peligro
Figura 20: Contabilizar alarmas
Conlleva
vctima(s)
Nivel de riesgo Riesgo
tolerable
intermedio
PFD <0.1
Riesgo inherente
al proceso
PFD = 0.1
PFD = 0.1
PFD = 0.1
Otro
Mec.
Alarmas
Intervalo de riesgo
10-4/ao
10-3/ao
10-2/ao
Frecuencia peligro
50
0.1/ao
1/ao
Riesgo inherente
al proceso
PFD = 0.1
PFD = 0.1
PFD = 0.1
Otro
Mec.
Alarmas
SIS
Intervalo de riesgo
10-4/ao
10-3/ao
10-2/ao
Frecuencia peligro
51
0.1/ao
1/ao
SIS
Sistema instrumentado
de seguridad
Proceso
Purga
hidrulica
Lgica
ESD
Vlvula
solenoide
Transmisor
de presin
PT
Controlador
de presin
PC
Entrada
gasoducto
Vlvula
cierre
Exportacin
gasoducto
Vlvula
control presin
52
Purga
hidrulica
Lgica
ESD
Vlvula
solenoide
Transmisor
de presin
PT
Proceso y BPCS
Controlador
de presin
PC
Entrada
gasoducto
Vlvula
cierre
Exportacin
gasoducto
Vlvula
control presin
53
Aire de combustin
TT
001
TE
002
TE
003
TT
004
TE
405
TT
406
TE
405
XY
101
TY
102
XY
101
Regulador
HC
201
HC
202
Gas principal
Gas combustible
XY
104
54
Nivel de integridad de
seguridad
10-5 a <10-4
10-4 a <10-3
-3
-2
10-2 a <10-1
10 a <10
55
Nivel de integridad de
seguridad
10-9 a <10-8
10-8 a <10-7
10-7 a <10-6
-6
10 a <10
-5
Nivel de integridad de
seguridad
10-5 a <10-4
10-4 a <10-3
10-3 a <10-2
-2
10 a <10
-1
56
57
58
Salida de
proceso
Calentador
Entrada de
proceso
TT
Caldera
= 400 x 10-5 al ao
= 4.0 x 10-3 al ao, que equivale a un SIL2.
59
ESD
Rel
Controlador
temperatura
Caldera
Calentador
Potencia
Salida de
proceso
Calentador
Entrada de
proceso
TT
Caldera
60
TT
Transmisor de
temperatura
61
Ca
Lesin
importante
Cb
Lesin grave,
una vctima
Posible
de evitar Pa
Exposicin rara
Fa
Cc
Varias
vctimas
W1
--
--
--
Posible
de evitar Pa
Exposicin rara
Fa
Improbable
de evitar Pb
Posible
de evitar Pa
Exposicin frecuente
Fb
Cd
Muchas
vctimas
W2
Improbable
de evitar Pb
Exposicin
frecuente Fb
Inicio
W3
Improbable
de evitar Pb
Exposicin rara
Fa
Posible
de evitar Pa
Exposicin frecuente
Fb
Improbable
de evitar Pb
Desde el punto de partida, en primer lugar se determinan las consecuencias del peligro:
Ca, Cb, Cc o Cd.
A continuacin, debe calcularse la frecuencia o la exposicin de la persona ms
sometida al riesgo derivado del peligro y elegir entre Fa, exposicin poco frecuente, o
Fb, exposicin frecuente. Normalmente, si la persona ms sometida al riesgo tiene una
probabilidad de encontrarse dentro del rango de alcance de los efectos peligrosos, del
10% o menos, puede seleccionarse la exposicin poco frecuente. En caso contrario, la
exposicin se puede considerar frecuente.
Desplazndonos por el diagrama de riesgos, si la persona sometida al riesgo tiene la
posibilidad de poder evitar el peligro, por ejemplo, escapando, siendo avisada o siendo
protegida por alguna funcin, enotnces podemos decir que es posible evitar el peligro y
62
Diagramas de riesgos
seleccionar dicha opcin en el diagrama de riesgos. De lo contrario debemos suponer que
no es posible evitar el peligro y llegamos a un punto determinado, una de las filas en las
columnas situadas a la derecha del diagrama de riesgos.
Por ltimo, debemos seleccionar la probabilidad de que el peligro se produzca eligiendo
ya sea la columna W3 (probabilidad de suceso relativamente alta), W2 (probabilidad de
suceso escasa) o W1 (probabilidad de suceso muy escasa). Donde se encuentren la fila y
la columna seleccionadas puede leerse el nivel de integridad de seguridad necesario.
7.2. Ejemplo
Como ejemplo, supongamos que un tanque de almacenamiento de petrleo se desborda y
libera vapor, que puede encenderse y causar varias vctimas mortales en la planta. Hemos
evaluado la frecuencia de las operaciones de llenado y decidido que la probabilidad de que
ocurra el peligro sera W1 (probabilidad muy escasa). No existen los medios por los que los
empleados de la planta puedan evitar el peligro en caso de que se produzca. El personal de la
planta se encuentra en las instalaciones rara vez nicamente para llevar a cabo actividades
de mantenimiento, normalmente menos de 1 hora al da. En la Figura 30 se muestra cmo
puede utilizarse el diagrama de riesgos para obtener un objetivo SIL1.
Ca
Lesin
importante
Cb
Lesin grave,
una vctima
Exposicin rara
Fa
Exposicin frecuente
Fb
Inicio
Cc
Varias
vctimas
Exposicin rara
Fa
Exposicin frecuente
Fb
Cd
Muchas
vctimas
Exposicin rara
Fa
Posible
de evitar Pa
Improbable
de evitar Pb
W3
W2
W1
--
--
--
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Improbable
de evitar Pb
Posible
de evitar Pa
Exposicin frecuente
Fb
Improbable
de evitar Pb
En este ejemplo, la funcin de seguridad podra ser un activacin de nivel alto que cierra
la vlvula de admisin del tanque. Esto tendra un objetivo SIL1.
63
Lesin menor
Inhibicin posible
Exposicin baja
Inhibicin no probable
Lesin grave o
una vctima
Inhibicin posible
Exposicin alta
Inhibicin no probable
Baja
Alternativas para
evitar el peligro
Media
Exposicin del
personal
Alta
Tasa de demanda
Gravedad de la
consecuencia
--
--
--
--
--
--
NR
NR
NR
NR
Exposicin baja
Mltiples vctimas
Exposicin alta
Catastrfica
-NR
Alto
Medio
Bajo
64
Categoras de requisitos
Diagramas de riesgos
El principio de uso es exactamente el mismo que para el diagrama de riesgos que se
muestra en la Figura 29 pero, en este caso, se proporciona cierta orientacin para el
clculo de la tasa de demanda.
Si, por ejemplo, un peligro pudiera ocasionar varias vctimas mortales, con una exposicin
poco frecuente y una tasa de demanda de 0.05/ao, la tasa de demanda desciende hasta
situarse en algn punto entre las categoras baja y media y debe decidirse qu
columna elegir. El hecho de adoptar un enfoque conservador dara como resultado un
objetivo SIL3 (Figura 32).
Lesin menor
Inhibicin posible
Exposicin baja
Inhibicin no probable
Lesin grave o
una vctima
Inhibicin posible
Exposicin alta
Inhibicin no probable
Baja
Alternativas para
evitar el peligro
Media
Exposicin del
personal
Alta
Tasa de demanda
Gravedad de la
consecuencia
--
--
--
--
--
--
NR
NR
NR
NR
Exposicin baja
Multiple Fatalities
Exposicin alta
Catastrfica
Categoras de requisitos
Una interpretacin menos cauta habra dado como resultado un objetivo SIL2.
7.4. Ejemplo
En la Figura 33 se muestra un ejemplo de una matriz de riesgos tpica. Las columnas P, A,
E y R ofrecen descripciones de las posibles consecuencias del peligro; las frecuencias de
suceso se describen en trminos cualitativos y los niveles de integridad de seguridad (SIL)
objetivo se ofrecen en los puntos en los que se alinean las filas y las columnas.
65
Sin lesiones
A
Patrimonio
Sin daos
E
Medio
ambiente
Sin efectos
R
Reputacin
D
<0.01/ao
<0.05/ao
Nunca
constatado
en la
industria
Ha ocurrido
en la
industria
<0.25/ao
>2/ao
>2/ao
Ha ocurrido
Ocurre
Ocurre
en la
varias veces/ varias veces/
empresa
ao en la
ao en las
empresa
instalaciones
Sin efectos
(SIL1)
Lesin
leve (<1/ao)
Daos
leves
(<$10K)
Efecto
leve
Impacto
leve
(SIL1)
SIL1
(SIL1)
SIL1
SIL2
(SIL1)
SIL1
SIL2
SIL3
(SIL1)
SIL1
SIL2
SIL3
NA
SIL1
SIL2
SIL3
NA
NA
Lesin leve
(<1E-01/ao)
Daos
leves
(<$100K)
Efecto
leve
Impacto
leve
Lesin
importante
(<1E-02/ao)
Dao
importante
(<$500K)
Efecto
localizado
Impacto
considerable
Una
vctima
(<1E-03/ao)
Dao
importante
(<$10M)
Efecto
importante
Impacto
nacional
Mltiples
vctimas C
(<1E-04/ao)
Extensos
daos
(>$10M)
Efecto
masivo
Impacto
internacional
ste parece ser un enfoque sencillo y til, pero pueden producirse problemas potenciales
si no se tiene cuidado.
A: Las frecuencias de suceso deben cuantificarse de un modo que sea no solo
coherente con la descripcin, sino que tenga como resultado el objetivo de
nivel de integridad de seguridad correcto.
B: Nunca visto en la industria puede calcularse suponiendo, digamos,
5000 plantas en funcionamiento durante 20 aos, lo que dara como resultado
una frecuencia aproximada de digamos <10-5/ao y no <10-2/ao, como se
muestra. Con un riesgo mximo tolerable de <10-4/ao, el resultado podra ser
sin objetivo de nivel de integridad de seguridad (SIL).
C: Las frecuencias de riesgo mximas tolerables deben ser las adecuadas. Un
valor de <10-3/ao para una nica vctima mortal es demasiado elevado y
tendr como resultado unos objetivos SIL optimistas y una reduccin de
riesgos inadecuada.
D: Para que los SIL objetivo aumenten por fila y por columna como lo hacen en la
Figura 33, las frecuencias de suceso tambin deberan aumentar tambin entre
cada columna en un orden de magnitud.
66
Diagramas de riesgos
E: El objetivo SIL de (SIL1) significa que se precisa cierta reduccin de riesgos, pero
que no existe un efecto consiguiente. No se precisa ninguna proteccin si no
existe un evento peligroso.
F: Por ltimo, en categoras comerciales, la frecuencia de suceso de daos a
activos debe ser realista y coherente con el coste de implementar las funciones
instrumentadas de seguridad necesarias.
La matriz de riesgos requiere por lo tanto calibracin y se sugiere lo siguiente (Figura 34).
P
Personas
A
Patrimonio
E
Medio
ambiente
R
Reputacin
Sin lesiones
Sin daos
Sin efectos
Sin efectos
Lesin leve
(<0.1/ao)
Daos
leves
(<$10K)
Efecto
leve
Impacto
leve
Lesin menor
(<1E-02/ao)
Daos
leves
(<$100K)
Efecto
leve
Impacto
leve
Lesin
importante
(<1E-03/ao)
Dao
importante
(<$500K)
Efecto
localizado
Impacto
considerable
Una
vctima
(<1E-04/ao)
Dao
grave
(<$10M)
Efecto
grave
Impacto
nacional
Mltiples
vctimas
(<1E-05/ao)
Extensos
daos
(>$10M)
Efecto
masivo
Impacto
internacional
<1E-04/ao
<1E-03/ao
<1E-02/ao
<0.1/ao
>0.1/ao
Nunca
constatado
en la
industria
Ha ocurrido
en la
industria
Ha ocurrido
Ocurre
Ocurre
en la
varias veces/ varias veces/
empresa
ao en la
ao en las
empresa
instalaciones
(SIL1)
SIL1
(SIL1)
SIL1
SIL2
(SIL1)
SIL1
SIL2
SIL3
(SIL1)
SIL1
SIL2
SIL3
NA
SIL1
SIL2
SIL3
NA
NA
7.5. Resumen
Los diagramas de riesgos y las matrices de riesgos pueden resultar muy tiles, en
particular cuando se utilizan en una primera pasada como tcnica de seguimiento rpido
para descartar todo excepto los SIL ms elevados (por ejemplo, SIL2 y superiores). No
obstante, una cuidadosa calibracin de las tcnicas utilizadas debe evitar resultados
incorrectos obtenidos como resultado de algunos de los obstculos que se muestran
aqu.
67
Puesto
Presidente
Secretario
Ingeniero de procesos
Usuario/operario
Especialista C e I
Encargado de
mantenimiento
68
69
70
Personas
(seguridad)
Medio ambiente
Coste
Reputacin
Cat.
grav.
Frecuencia
objetivo de
riesgo (/ao)
Descripcin de la consecuencia
En las instalaciones
P1
1.0E-01
P2
1.0E-02
P3
1.0E-03
P4
1.0E-04
P5
1.0E-05
P6
1.0E-06
E1
1.0E-01
E2
1.0E-02
E3
1.0E-03
E4
1.0E-04
E5
1.0E-05
E6
1.0E-06
C1
1.0E-01
Prdida <10K
NA
C2
1.0E-02
NA
C3
1.0E-03
NA
C4
1.0E-04
NA
C5
1.0E-05
NA
C6
1.0E-06
Prdida 100M
NA
R1
1.0E-01
NA
R2
1.0E-02
Prensa local
NA
R3
1.0E-03
Prensa nacional
NA
R4
1.0E-04
NA
R5
1.0E-05
Prensa internacional
NA
R6
1.0E-06
NA
71
Posibilidad
iniciadora
(al ao)
Fuente de datos
1.65E-02
1.10E-02
2.68E-03
8.58E-04
1.01E-02
1.01E-02
2.89E-03
2.89E-03
72
=
=
=
B x PE
12 x 1%/ao
0.12/ao
73
74
75
Modo a demanda
Probabilidad de fallo a
demanda
Modo continuo
Tasa de fallo por hora
SIL4
10-5 a <10-4
10-9 a <10-8
SIL3
10-4 a <10-3
10-8 a <10-7
SIL2
10-3 a <10-2
10-7 a <10-6
SIL1
10-2 a <10-1
10-6 a <10-5
Tabla 7: Probabilidad de fallo a demanda (PFD) y tasas de fallo especificadas por el nivel de
integridad de seguridad (SIL)
Debe tenerse en cuenta que la probabilidad de fallo a demanda y la tasa de fallo de cada
nivel de integridad de seguridad dependen del modo de funcionamiento en que se
planee utilizar el sistema instrumentado de seguridad respecto a la frecuencia de las
demandas a la que est sometido [8.6.12].
A continuacin figuran las hojas de trabajo del LOPA.
76
1.10
ID/Ref.
Cmara
Zona
Descripcin
Una presin
elevada causa
la rotura de
la cmara y la
liberacin
del gas.
Descripcin
evento (peligro)
Seguridad:
La liberacin
del gas
prende en el
quemador y
las superficies
calientes.
Posiblemente
dos vctimas
entre el
personal de
mantenimiento.
Consecuencia
P5
Categora
gravedad
1.00E-05
Riesgo
mx.
tolerable
(pa)
77
2.89E-03
1.01E-02
2.89E-03
2.68E-03
1.01E-02
1.10E-02
Fallo de cierre de la
exportacin de gas
FCV102.
Fallo de cierre de la
exportacin de lquido
XV102.
Fallo de TT100 y se
registra temperatura
baja
8.58E-04
1.65E-02
[a]
0.10
0.10
0.10
0.10
0.10
0.10
0.10
0.10
[b]
0.75
0.75
0.75
0.75
0.75
0.75
0.75
0.75
[c]
Fallo de apertura de la
importacin de lquido
XV102.
Fallo de PT102 y se
registra baja presin
Causa iniciadora
[d]
Diseo
de uso
general
(clasificacin
diseo)
0.10
0.10
0.10
0.10
0.10
0.10
[e]
BPCS
[DCS]
[f]
Alarmas
independientes
0.33
0.33
0.33
0.33
0.33
0.33
0.33
0.33
[g]
Mitigacin
adicional:
Ocupacin
(niveles
de personal)
[h]
Mitigacin
adicional,
p. ej., muros
cortafuegos/
procedimientos
operacionales/
vlvulas de alivio
5.34E-04
2.74E-05
2.52E-05
6.70E-06
7.23E-06
2.52E-05
7.23E-06
2.15E-05
4.13E-04
Verosimilitud
de nivel
intermedio
del evento
(pa)
1.87E-02
PDF
requerida
de SRS
SIL1
SIL
requerido
de SRS
Como arriba.
Como arriba.
Como arriba.
Como arriba.
Como arriba.
Como arriba.
Comentarios/supuestos
1.10
ID/Ref.
Cmara
Zona
Descripcin
Una presin
elevada causa la
rotura de la
cmara y la
liberacin del
gas.
Descripcin
evento (peligro)
Medio
ambiente:
Rotura de la
cmara, escape
de gas, no hay
ignicin.
Liberacin en
las instalaciones.
Se requiere
limpieza y
notificacin a
las autoridades,
pero sin
consecuencias
medioambientales.
Consecuencia
E2
1.00E-02
Categora Riesgo
gravedad mx.
tolerable
(pa)
78
2.68E-03
1.01E-02
1.10E-02
Fallo de TT100 y se
registra temperatura
baja
2.89E-03
1.01E-02
Fallo de cierre de la
exportacin de gas
FCV102.
Fallo de cierre de la
exportacin de lquido
XV102.
2.89E-03
8.58E-04
1.65E-02
[a]
Verosimilitud
iniciadora
(pa)
Fallo de apertura de la
importacin de lquido
XV102.
Fallo de PT102 y se
registra baja presin
Causa iniciadora
0.10
0.10
0.10
0.10
0.10
0.10
0.10
0.10
[b]
[c]
[d]
(clasificacin
del diseo)
0.10
0.10
0.10
0.10
0.10
0.10
[e]
BPCS
[DCS]
[f]
[g]
Mitigacin
adicional,
p. ej., muros
cortafuegos/
procedimientos
operacionales/
vlvulas de alivio
2.14E-03
1.10E-04
1.01E-04
2.68E-05
2.89E-05
1.01E-04
2.89E-05
8.58E-05
1.65E-03
Verosimilitud
de nivel
intermedio
del evento
(pa)
Ninguna
PDF
requerida
de SRS
Como arriba.
Comentarios/supuestos
Como arriba.
Como arriba.
Como arriba.
Como arriba.
Como arriba.
SIL
requerido
de SRS
1.10
ID/Ref.
Cmara
Zona
Descripcin
Una presin
elevada causa
la rotura de la
cmara y la
liberacin del
gas.
Descripcin
evento (peligro)
79
Los daos
del equipo
requieren
la sustitucin
de la cmara
valorada en
10M y la
prdida de
produccin de
1 ao
Comercial:
Rotura de la
cmara,
escape de gas,
ignicin y
daos al
patrimonio.
Consecuencia
C5
1.00E-05
Categora Riesgo
gravedad mx.
tolerable
(pa)
1.01E-02
2.89E-03
2.68E-03
1.01E-02
1.10E-02
Fallo de cierre de la
exportacin de lquido
XV102.
Fallo de TT100 y se
registra temperatura
baja
2.89E-03
8.58E-04
1.65E-02
[a]
Verosimilitud
iniciadora
(pa)
Fallo de cierre de la
exportacin de gas
FCV102.
Fallo de apertura de la
importacin de lquido
XV102.
Fallo de PT102 y se
registra baja presin
Causa iniciadora
0.10
0.10
0.10
0.10
0.10
0.10
0.10
0.10
[b]
0.75
0.75
0.75
0.75
0.75
0.75
0.75
0.75
[c]
[d]
(clasificacin
diseo)
0.10
0.10
0.10
0.10
0.10
0.10
[e]
BPCS
[DCS]
[f]
[g]
Verosimilitud
de evento
[h]
1.60E-03
8.21E-05
7.56E-05
2.01E-05
2.17E-05
7.56E-05
2.17E-05
6.44E-05
1.24E-03
Mitigacin
nivel interadicional,
medio (pa)
p. ej., muros
cortafuegos/
procedimientos
operacionales/
vlvulas de alivio
6.24E-03
PDF
requerida
de SRS
SIL2
SIL
requerido
de SRS
Como arriba.
Como arriba.
Como arriba.
Como arriba.
Como arriba.
Como arriba.
Comentarios/supuestos
Consecuencia
Objetivo del
SIL
Seguridad
1.87E-02
Medio ambiente
Ninguno
Comercial
6.24E-03
SIL2
Objetivo de la
probabilidad
de fallo a
demanda
(PFD)
80
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Especificacin de requisitos de
seguridad para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 9.1, es asignar
funciones de seguridad a las capas de proteccin.
Como entradas, esta fase precisa una descripcin en trminos de requisitos funcionales
de seguridad y requisitos de integridad de seguridad.
Como salidas, la fase debe proporcionar informacin acerca de la asignacin de
funciones de seguridad generales, sus medidas objetivo de fallos y los niveles de
integridad de seguridad asociados. Se definen asimismo las suposiciones realizadas
sobre otras medidas de reduccin de riesgos que deben gestionarse durante la vida
til del proceso o de la planta.
81
Peligro
Consecuencia
Objetivo
del SIL
Objetivo
de la PFD
1.01
SIL2
6.24E-03
1.11
Ninguno
Ninguno
1.15
Temperatura elevada
conlleva presin
elevada, rotura de la
cmara y liberacin de
gas.
Ninguno
Ninguno
1.16
Baja temperatura,
congelacin potencial
del lquido (solidificacin), rotura de la
cmara y prdida de
contencin.
Ninguno
Ninguno
1.20
Nivel elevado en la
cmara puede causar
arrastre de lquido a la
exportacin de lquido.
SIL1
8.10E-02
1.21
6.22E-02
82
Funcin
instrumentada
de seguridad
L
LHH102
ESDV102
Funcin
instrumentada
de seguridad
LHH101
ESDV101
Funcin
instrumentada
de seguridad
PHH100
ESDV100
PHH100
LHH101
ESDV100
Sistema
instrumentado
de seguridad
ESDV101
LHH102
ESDV102
83
PT102
P
Exportacin
gas
ESDV102
Importacin
lquido
XV102
FCV102
SIS
LH
LHH102
LH101
PHH100
LL
LL101
Exportacin
lquido
LL
TT100
LLL101
SIS
ESDV101
FCV100
Quemador
XV100
XV101
ESDV100
Suministro
gas
combustible
FCV100
SIS
Figura 35c: Fase 2 del ciclo de vida
84
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Especificacin de requisitos de
seguridad para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 10.1, es especificar
los requisitos de las funciones instrumentadas de seguridad (SIF).
10.2. Requisitos de integridad de seguridad de una funcin instrumentada de
seguridad (SIF)
El nivel de integridad de seguridad de cada funcin instrumentada de seguridad ha sido
seleccionado durante el estudio de determinacin del nivel de integridad de seguridad
mediante un diagrama de riesgos, un LOPA o una matriz de riesgos.
Esta informacin debe comunicarse entonces al equipo de diseo mediante la
especificacin de requisitos de seguridad para garantizar que el diseo cumpla los
requisitos de integridad de seguridad de las funciones instrumentadas de seguridad
85
86
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Especificacin de requisitos de
seguridad para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 11.1, es:
Disear el sistema instrumentado de seguridad (SIS) para que proporcione las
funciones instrumentadas de seguridad (SIF) necesarias [11.2];
Comprobar que el diseo de las funciones instrumentadas de seguridad (SIF)
cumpla el nivel de integridad de seguridad (SIL) especificado, definido durante
la determinacin del SIL [13].
87
88
Tcnicas de fiabilidad
12. Tcnicas de fiabilidad
12.1. Introduccin
Este apartado ofrece una breve introduccin a las tcnicas de fiabilidad. En ningn caso
se trata de un estudio integral sobre mtodos de ingeniera de fiabilidad, ni es de ningn
modo nuevo o poco convencional. Los mtodos que se describen en l son utilizados de
forma rutinaria por los ingenieros de fiabilidad.
12.2. Definiciones
Para facilitar la comprensin a continuacin figura una lista abreviada de trminos clave
junto con sus definiciones correspondientes. En muchos textos normales sobre el tema
se pueden encontrar definiciones de los trminos y nomenclatura ms completa.
Capacidad Medida de la capacidad de un elemento de alcanzar los objetivos de la
misin dadas las condiciones durante la misma.
Confiabilidad Medida del grado hasta el cual un elemento se encuentra en estado
operativo y capaz de llevar a cabo la funcin para la que se ha diseado en cualquier
momento (aleatorio) durante un perfil de misin especfico, dada la disponibilidad al
inicio de la misma.
Disponibilidad Medida del grado hasta el cual un elemento se encuentra en estado
operativo y ofrece garantas al inicio de la misin, cuando se requiere dicha misin en
un estado desconocido.
Fallo Evento, o estado inoperativo, en el que un elemento o parte del mismo no
funciona o no funcionara tal y como se ha especificado anteriormente.
Fallo, aleatorio Fallo cuya suceso es predecible nicamente en sentido probabilstico
o estadstico. Este principio se aplica a todas las distribuciones.
Fallo, dependiente Fallo ocasionado por el fallo de un elemento o de elementos
asociados. No independiente.
Fallo, independiente Fallo que se produce sin que est ocasionado por el fallo de
ningn otro elemento. No dependiente.
Fiabilidad (1) Duracin o probabilidad de rendimiento sin fallos bajo condiciones
determinadas. (2) Probabilidad de que un elemento pueda llevar a cabo la funcin para la
que ha sido diseado durante un intervalo especfico y bajo condiciones determinadas.
En el caso de elementos no redundantes, sera el equivalente a la definicin (1). En el caso
de elementos redundantes, sera la definicin de fiabilidad de la misin.
89
90
Tcnicas de fiabilidad
12.3. Conceptos matemticos bsicos en ingeniera aplicada a la fiabilidad
En ingeniera aplicada a la fiabilidad se utilizan numerosos conceptos matemticos,
en particular en las reas de probabilidad y estadstica. Asimismo, es posible utilizar
diferentes distribuciones matemticas para distintos propsitos, incluida la distribucin
gaussiana (normal), la distribucin logartmica normal, la distribucin de Rayleigh,
la distribucin exponencial, la distribucin de Weibull y muchas otras. En esta breve
introduccin nos limitaremos a tratar la distribucin exponencial.
Tasa de fallo y tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).
El objetivo de las mediciones cuantitativas de la fiabilidad es definir la tasa de fallo
en relacin al tiempo y modelar dicha tasa segn una distribucin matemtica para
comprender los aspectos cuantitativos del fallo. El bloque modular ms bsico es la
tasa de fallo, que se calcula utilizando la siguiente ecuacin:
= F/T
Donde: = Tasa de fallo (a menudo se denomina tasa de peligro);
T = Nmero total de horas del dispositivo (tiempo de funcionamiento/ciclos/km/etc.)
durante un periodo de investigacin, tanto para elementos que han fallado como para
los que no han fallado;
F = nmero total de fallos que ocurren durante el periodo de anlisis.
Por ejemplo, si cinco motores elctricos funcionan durante un tiempo colectivo total de
50 aos y se producen 5 fallos funcionales durante dicho periodo, la tasa de fallo es de
0.1 al ao.
Otro concepto muy bsico es el tiempo medio entre fallos/hasta el fallo (MTBF/MTTF).
La nica diferencia entre el MTBF y el MTTF es que utilizamos el MTBF al referirnos a
elementos que se reparan cuando fallan. En el caso de los elementos que simplemente
se han desechado y sustituido, utilizamos el MTTF. Los clculos son los mismos. El clculo
bsico para calcular el tiempo medio entre fallos (MTBF) y el tiempo medio hasta el fallo
(MTTF) es el valor recproco de la funcin de la tasa de fallo. Se calcula por medio de la
siguiente ecuacin.
= T/F
Donde: = Tiempo medio entre fallos/hasta el fallo;
T = Tiempo de funcionamiento total/ciclos/km/etc. durante un periodo de investigacin,
tanto para elementos que han fallado como que no han fallado;
F = nmero total de fallos que ocurren durante el periodo de anlisis.
91
92
Tcnicas de fiabilidad
El aumento de los fallos por desgaste puede deberse a razones sistemticas similares.
Los mecanismos de fallo pueden deberse a la degradacin de la fuerza como, por
ejemplo, la acumulacin de daos debidos a la fatiga. En electrnica, los mecanismos de
fallo dependientes del tiempo tienden a ser mecnicos por naturaleza e incluyen el fallo
debido a la fatiga de las juntas de soldadura.
El periodo de la tasa de fallo constante representa la mayor parte de la vida til de un
producto y es una medida de la calidad del diseo. Es en esta regin de la tasa de fallo
constante en la que pueden llevarse a cabo clculos sencillos relacionados con la
fiabilidad.
Curva de baera
1
0.9
0.8
Tasa de fallo
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
10
20
30
Tiempo
40
50
60
Decreciente
Constante
Creciente
Total
Figura 38: Curva de baera
93
= exp. { 0.1 x 6}
= exp. { 0.6}
= 0.5488 55%
En otras palabras, despus de seis aos, desde el punto de vista probabilstico se podra
esperar que se produjera un fallo en alrededor del 45% de la poblacin de motores
idnticos en funcionamiento en una aplicacin idntica. Merece la pena reiterar en este
punto que estos clculos proyectan la probabilidad para una poblacin general. Cada
individuo especfico dentro de la poblacin podra fallar el primer da de funcionamiento,
mientras que otro podra durar 30 aos. sta es la naturaleza de las proyecciones de
fiabilidad probabilsticas.
Una caracterstica de la distribucin exponencial es que el tiempo medio entre fallos
(MTBF) se produce en el punto en el que la fiabilidad calculada es del 36.78% o en el
punto en el que el 63.22% de las mquinas ya han fallado. En el ejemplo del motor,
despus de 10 aos, es de esperar que falle el 63.22% de los motores de una poblacin
de motores idnticos utilizados en aplicaciones idnticas. En otras palabras, la tasa de
supervivencia es del 36.78% de la poblacin.
12.6. Clculo de la fiabilidad del sistema
Una vez se ha establecido la fiabilidad de los componentes o de las mquinas en relacin
al contexto de funcionamiento y al tiempo necesario para la misin, los ingenieros de la
planta deben evaluar la fiabilidad de un sistema o proceso. De nuevo, con propsitos de
brevedad y simplicidad, abordaremos los clculos de fiabilidad en los sistemas en serie,
en paralelo y redundantes de carga compartida (M de N) (sistemas MooN).
12.6.1. Sistemas seriales
Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas de
bloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente
94
Tcnicas de fiabilidad
para esquematizar un proceso desde el principio hasta el final. En el caso de un sistema
serial, al subsistema 1 le sigue el subsistema 2, y as sucesivamente. En el sistema serial,
la capacidad para utilizar el subsistema 2 depende del estado de funcionamiento del
subsistema 1. Si el subsistema 1 no est en funcionamiento, el sistema est inactivo,
independientemente de la condicin del subsistema 2 (Figura 39).
R1(t)
R2(t)
R3(t)
Subsistema 1
Subsistema 2
Subsistema 3
Para calcular la fiabilidad del sistema en el caso de un proceso serial, solo se debe
multiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidad
aproximada del subsistema 2 en un tiempo (t). La ecuacin bsica para calcular la
fiabilidad del sistema en el caso de un sistema serial sencillo es:
Rs(t) = R1(t) . R2(t) . R3(t)
Donde: Rs(t) Fiabilidad del sistema durante un tiempo determinado (t);
Rn(t) Fiabilidad del subsistema o de la subfuncin durante un tiempo determinado (t)
As, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una de
ellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad del
sistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.
12.6.2. Sistemas en paralelo
A menudo, los ingenieros encargados del diseo incorporan la redundancia en mquinas
fundamentales. Los ingenieros encargados de la fiabilidad los denominan sistemas en
paralelo. Estos sistemas pueden disearse como sistemas en paralelo activos o como
sistemas en paralelo en espera. En la Figura 40 se muestra el diagrama de bloques de un
sistema en paralelo sencillo de dos componentes.
R1(t)
R2(t)
Figura 40: Sistema en paralelo
95
96
Tcnicas de fiabilidad
R1(t)
R2(t)
R3(t)
R4(t)
Figura 41: Sistema 3oo4
Suministro
hidrulico
Purga
hidrulica
Lgica
ESD
Vlvula
solenoide
Transmisor
de presin
PT
Controlador
de presin
PC
Entrada
gasoducto
Vlvula
cierre
Exportacin
gasoducto
Vlvula
control presin
En este ejemplo, el modo de fallo peligroso en posicin abierta no se descubre sino hasta
que la vlvula se sometiera a una demanda; es decir, hasta que se le diera la orden de
cierre. Este se considera un fallo peligroso no detectado.
97
98
Tcnicas de fiabilidad
12.9. Periodo de prueba de calidad (Tp) y tiempo improductivo medio (MDT)
Si se produce un fallo, se presupone que en promedio ocurre en el punto intermedio del
intervalo de prueba. En otras palabras, el fallo sigue sin detectarse durante el 50% del
periodo de prueba.
Tanto en el caso de fallos detectados como de no detectados, el tiempo improductivo
medio (MDT) depende del intervalo de prueba y del tiempo medio hasta la reparacin
(MTTR).
El tiempo improductivo medio (MDT) se calcula, por lo tanto, a partir de:
MDT = intervalo de prueba + MTTR
2
En el caso de fallos detectados, el tiempo improductivo medio se aproxima, por lo tanto,
al tiempo medio hasta la reparacin, ya que el intervalo de prueba (autoprueba) es por lo
general corto en comparacin con el tiempo medio hasta la reparacin (MTTR). En el caso
de fallos no detectados, el tiempo de reparacin es corto en comparacin al intervalo
de prueba, el periodo de prueba de calidad (Tp) y, por lo tanto, el tiempo improductivo
medio (MDT) de este tipo de fallos se aproxima a Tp/2.
12.10. Modelado de la tasa de fallo del sistema (sys)
La tasa de fallo de un sistema redundante sys, puede calcularse teniendo en cuenta
las diferentes formas en que puede producirse el fallo del sistema. En un sistema 3oo4,
se requiere el funcionamiento de 3 de los 4 canales para que el sistema funcione; por lo
tanto, cada dos fallos se produce un fallo del sistema.
99
sys
1oo1
1oo2
2.2.MDT
2oo2
2.
1oo3
3.3.MDT2
2oo3
6.2.MDT
3oo3
3.
1oo4
4.MDT3
2oo4
12.3.MDT2
3oo4
12.2.MDT
4oo4
4.
100
Tcnicas de fiabilidad
12.11. Modelado de tasas de fallos peligrosos detectados y no detectados (DD) y
(DU)
Al sustituir DD y DU, por en la Tabla 10, y al utilizar el tiempo improductivo medio (MDT)
o el Tp/2 (segn resulte adecuado) puede derivarse la tasa de fallo del sistema a causa de
fallos peligrosos detectados o no detectados Tabla 11.
Configuracin
Detectado
No detectado
sys
sys
1oo1
DD
DU
1oo2
2.DD2.MDT
DU2.TP
2oo2
2.DD
2.DU
1oo3
3.DD3.MDT2
DU3.TP2
2oo3
6.DD2.MDT
3.DU2.TP
3oo3
3.DD
3.DU
1oo4
DD4.MDT3
DU4.TP3
2oo4
12.DD3.MDT2
4.DU3.TP2
3oo4
12.DD2.MDT
6.DU2.TP
4oo4
4.DD
4.DU
101
Errneo
str
1oo1
1oo2
2.S
2oo2
2.S2.MDT
1oo3
3.S
2oo3
6.S .MDT
3oo3
3.S3.MDT2
1oo4
4.S
2oo4
12.S .MDT
3oo4
12.S3.MDT2
4oo4
S4.MDT3
102
Tcnicas de fiabilidad
La disponibilidad del sistema es, por lo tanto, producto de las disponibilidades debidas a
fallos peligrosos detectados, fallos peligrosos no detectados y fallos seguros:
ASYS = ADD . ADU . AS
Este mtodo puede utilizarse para modelar sistemas seriales (simplex) y tambin sistemas
redundantes.
12.14. Modelado de disponibilidad de sistemas de seguridad en modo continuo
Cuando se aplica el mtodo a sistemas de seguridad en modo continuo, el analista
debe comprender la naturaleza de las demandas a la que est sometida la funcin de
seguridad. Ciertas funciones de seguridad en modo continuo funcionan a demanda
(igual que una funcin de seguridad en modo a demanda), pero se clasifican como en
modo continuo debido a la frecuencia de la demanda (por ejemplo, superior a una vez
al ao). En este caso, la disponibilidad puede calcularse al igual que para una funcin de
seguridad en modo a demanda, excepto que el intervalo de prueba de calidad TP debe
sustituirse por el intervalo de demanda TD. Los fallos peligrosos no detectados no se
descubren sino hasta que la funcin de seguridad se somete a una demanda.
Cuando la funcin de seguridad en modo continuo proporciona control continuo de forma
eficaz, la disponibilidad puede calcularse como si se tratase de un sistema de control [12.15].
12.15. Modelado de disponibilidad de sistemas de control
Cuando se trata de modelar la disponibilidad de los sistemas de control, nos preocupan
los fallos que afectan el proceso y debemos decidir si un fallo afecta al proceso hasta tal
punto que el sistema de control se encuentra efectivamente no disponible.
La deteccin de un fallo se lleva a cabo ya sea mediante diagnstico y alarmas de fallo,
en cuyo caso se precisa una reparacin y el sistema no est disponible sino hasta que se
restaure, o mediante sntomas, en cuyo caso el proceso bajo control funciona fuera de los
lmites de los puntos de ajuste.
Los fallos que no se detectan no tienen como consecuencia inmediata que el sistema
de control se encuentre no disponible. Con el tiempo, el fallo no detectado puede tener
como consecuencia la desviacin de los lmites especficos para los parmetros de
proceso y, en dicho punto, se descubre y se traduce en una falta de disponibilidad.
La disponibilidad de los sistemas de control puede, por lo tanto, modelarse teniendo en
cuenta que la tasa de fallo total del sistema ASYS viene dada por:
ASYS = 1/(1 + SYS.MDT)
donde SYS es la tasa de fallo total del sistema como resultado de todos los fallos
[Tabla 10].
103
PFH
PFD
1oo1
DD
DD.MDT
1oo2
2.DD2.MDT
2.DD2.MDT2
2oo2
2.DD
2.DD.MDT
1oo3
3.DD3.MDT2
3.DD3.MDT3
2oo3
6.DD2.MDT
3.DD2.MDT2
3oo3
3.DD
3.DD.MDT
1oo4
4.DD4.MDT3
DD4.MDT4
2oo4
12.DD3.MDT2
4.DD3.MDT3
3oo4
12.DD2.MDT
6.DD2.MDT2
4oo4
4.DD
4.DD.MDT
104
Tcnicas de fiabilidad
Configuracin
PFH
PFD
1oo1
DU
DD.TP/2
1oo2
DU2.TP
DD2.TP2/3
2oo2
2.DU
DD.TP
1oo3
DU .TP
DD3.TP3/4
2oo3
3.DU2.TP
DD2.TP2
3oo3
3.DU
3.DD.TP/2
1oo4
DU .TP
DD4.TP4/5
2oo4
4.DU3.TP2
DD3.TP3
3oo4
6.DU2.TP
2.DD2.TP2
4oo4
4.DU
2.DD.TP
105
106
Tcnicas de fiabilidad
Para fallos detectados:
PFD1oo1 = DD.MDT
PFD1oo2 = DD2.MDT2 + .DD.MDT
107
108
109
2.15E-06
0.00E+00
1.21E-06
7.72E-07
2.63E-03
2.63E-03
Total DD
Total DU
Total S
Total SYS
3.66E-07
3.66E-07
1.16E-06
1.16E-06
1
1oo1
S (diagnsticos)
S*cant.
S para bifurcacin
MDT
Total S
Total DU
DU (prueba de calidad)
DU*cant.
DU para bifurcacin
DD (diagnsticos)
DD*cant.
DD para bifurcacin
MDT
Total DD
CCF
Cant.
Configuracin
Transmisor
de presin
PT-xxx
/h
3.00E-07
0.00E+00
2.00E-07
2.00E-07
0.00E+00
0.00E+00
1
1oo1
Carga
ventilador
FL-xxx
3.00E-07
2.63E-03
2.63E-03
24
2.63E-03
2.00E-07
2.00E-07
7.66E-07
8760
7.66E-07
0.00E+00
0.00E+00
1.16E-06
24
1.16E-06
1
1oo1
Carga
ventilador
FL-xxx
9.10E-08
9.10E-08
9.10E-09
9.10E-09
8.19E-08
8.19E-08
1
1oo2
CNB
CNB
3.28E-07
6.56E-07
3.28E-08
6.56E-08
2.95E-07
5.90E-07
2
1oo2
Entrada
analgica
Entrada
analgica
2.26E-07
2.26E-07
2.26E-08
2.26E-08
2.03E-07
2.03E-07
1
1oo2
CPU
CPU
1.54E-07
1.54E-07
1.13E-06
24
2.25E-06
1.54E-08
1.54E-08
1.13E-07
8760
1.11E-10
1.38E-07
1.38E-07
1.01E-06
24
4.93E-11
1
1oo2
Salida
digital
Salida
digital
5.84E-08
5.84E-08
5.84E-08
24
5.84E-08
5.84E-09
5.84E-09
5.84E-09
8760
5.84E-09
5.25E-08
5.25E-08
5.25E-08
24
5.25E-08
5%
CCF
Tcnicas de fiabilidad
110
2.15E-06
0.00E+00
1.21E-06
9.88E-04
2.63E-03
3.62E-03
Total DD
Total DU
Total S
Total SYS
3.66E-07
3.66E-07
1.16E-06
1.16E-06
1
1oo1
S (diagnsticos)
S*cant.
S para bifurcacin
MDT
Total S
Total DU
DU (prueba de calidad)
DU*cant.
DU para bifurcacin
DD (diagnsticos)
DD*cant.
DD para bifurcacin
MDT
Total DD
CCF
Cant.
Configuracin
Transmisor
de presin
PT-xxx
/h
3.00E-07
0.00E+00
2.00E-07
2.00E-07
0.00E+00
0.00E+00
1
1oo1
Carga
ventilador
FL-xxx
3.00E-07
2.63E-03
2.63E-03
24
2.63E-03
2.00E-07
2.00E-07
7.66E-07
8760
7.66E-07
0.00E+00
0.00E+00
1.16E-06
24
1.16E-06
1
1oo1
Carga
ventilador
FL-xxx
9.10E-08
9.10E-08
8.19E-08
8.19E-08
1
1oo2
CNB
CNB
3.28E-07
6.56E-07
2.95E-07
5.90E-07
2
1oo2
Entrada
analgica
Entrada
analgica
2.26E-07
2.26E-07
2.03E-07
2.03E-07
1
1oo2
CPU
CPU
1.54E-07
1.54E-07
1.13E-06
24
2.25E-06
1.38E-07
1.38E-07
1.01E-06
24
4.93E-11
1
1oo2
Salida
digital
Salida
digital
5.84E-08
5.84E-08
5.84E-08
24
5.84E-08
5.25E-08
5.25E-08
5.25E-08
24
5.25E-08
5%
CCF
9.10E-09
1.82E-08
2
2oo2
CNB
3.28E-08
1.31E-07
4
2oo2
Entrada
analgica
2.26E-08
4.52E-08
2
2oo2
CPU
1.54E-08
3.07E-08
2.25E-07
8760
9.87E-04
2
2oo2
Salida
digital
111
2.15E-06
0.00E+00
1.21E-06
4.94E-04
2.63E-03
3.13E-03
Total DD
Total DU
Total S
Total SYS
3.66E-07
3.66E-07
1.16E-06
1.16E-06
/h
3.00E-07
0.00E+00
2.00E-07
2.00E-07
0.00E+00
0.00E+00
1
1oo1
1
1oo1
S (diagnsticos)
S*cant.
S para bifurcacin
MDT
Total S
Total DU
DU (prueba de calidad)
DU*cant.
DU para bifurcacin
DD (diagnsticos)
DD*cant.
DD para bifurcacin
MDT
Total DD
Cant.
Configuracin
Carga
ventilador
FL-xxx
Transmisor
de presin
PT-xxx
3.00E-07
2.63E-03
2.63E-03
24
2.63E-03
2.00E-07
2.00E-07
7.66E-07
8760
7.66E-07
0.00E+00
0.00E+00
1.16E-06
24
1.16E-06
1
1oo1
Carga
ventilador
FL-xxx
9.10E-08
9.10E-08
8.19E-08
8.19E-08
1
1oo2
CNB
CNB
3.28E-07
6.56E-07
2.95E-07
5.90E-07
2
1oo2
Entrada
analgica
Entrada
analgica
2.26E-07
2.26E-07
2.03E-07
2.03E-07
1
1oo2
CPU
CPU
1.54E-07
1.54E-07
1.13E-06
24
2.25E-06
1.38E-07
1.38E-07
1.01E-06
24
4.93E-11
1
1oo2
Salida
digital
Salida
digital
5.84E-08
5.84E-08
5.84E-08
24
5.84E-08
5.25E-08
5.25E-08
5.25E-08
24
5.25E-08
CCF
9.10E-09
9.10E-09
1
1oo1
CNB
3.28E-08
6.56E-08
2
1oo1
Entrada
analgica
2.26E-08
2.26E-08
1
1oo1
CPU
1.54E-08
1.54E-08
1.13E-07
8760
4.93E-04
1
1oo1
Salida
digital
Tcnicas de fiabilidad
Disponibilidad de un
sistema complex
112
/h
Av (DD)
Av (DU)
Av (S)
Total DD = 1.21E-06
Total DU = 7.72E-07
Total S = 2.63E-03
2.00E-07
2.00E-07
0.00E+00
0.00E+00
1
1oo1
3.00E-07
0.00E+00
3.66E-07
3.66E-07
1.16E-06
1.16E-06
1
1oo1
Carga
ventilador
FL-xxx
2.15E-06
0.00E+00
S (diagnsticos)
S*cant
S para bifurcacin
MDT
Total S
Total DU
DU (prueba de calidad)
DU*cant
DU para bifurcacin
DD (diagnsticos)
DD*cant
DD para bifurcacin
MDT
Total DD
CCF
Cant
Configuracin
Transmisor
de presin
PT-xxx
=
=
=
0.99997
0.99328
0.94062
3.00E-07
2.63E-03
2.63E-03
24
2.63E-03
2.00E-07
2.00E-07
7.66E-07
8760
7.66E-07
0.00E+00
0.00E+00
1.16E-06
24
1.16E-06
1
1oo1
Carga
ventilador
FL-xxx
9.10E-08
9.10E-08
9.10E-09
9.10E-09
8.19E-08
8.19E-08
1
1oo2
CNB
CNB
3.28E-07
6.56E-07
3.28E-08
6.56E-08
2.95E-07
5.90E-07
2
1oo2
Entrada
analgica
Entrada
analgica
2.26E-07
2.26E-07
2.26E-08
2.26E-08
2.03E-07
2.03E-07
1
1oo2
CPU
CPU
1.54E-07
1.54E-07
1.13E-06
24
2.25E-06
1.54E-08
1.54E-08
1.13E-07
8760
1.11E-10
1.38E-07
1.38E-07
1.01E-06
24
4.93E-11
1
1oo2
Salida
digital
Salida
digital
5.84E-08
5.84E-08
5.84E-08
24
5.84E-08
5.84E-09
5.84E-09
5.84E-09
8760
5.84E-09
5.25E-08
5.25E-08
5.25E-08
24
5.25E-08
5%
CCF
Tcnicas de fiabilidad
12.24. Ejemplo de hoja de datos
Los datos de la tasa de fallo utilizados en los diagramas de bloques de fiabilidad anteriores
deben estar visibles en el informe y demostrar facilidad de rastreo a la fuente. La fuente,
cuando se refiera a datos publicados, debe presentarse de forma suficientemente detallada,
de modo que terceros puedan comprobar independientemente los datos utilizados. Este
grado de detalle puede incluir identificacin de documentos, nmero ISBN (si es aplicable) y
nmero de pgina y de elemento.
En la Tabla 15 se muestra una tabla de datos tpica de los diagramas de bloques de
fiabilidad del ejemplo anterior.
Descripcin
Nm. de
pieza
Total
DD
DU
Comentarios/fuente
Transmisor
de presin
PT-xxx
PT-xxx
3.68E-06
1.53E-06
1.16E-06
3.66E-07
2.15E-06
Manufacturers PT-xxx
Functional Safety
Manual, M-xxx-xxx,
Month-20xx
Carga
ventilador
FL-xxx
transformador de
corriente
FL-xxx
5.00E-07
2.00E-07
0.00E+00
2.00E-07
3.00E-07
FARADIP-THREE V6.4,
Reliability Data Base.
Technis, 26 Orchard
Drive, Tonbridge,
Kent TN10 4LG,
ISBN 0-951-65623-6.
Mdulo
comunic.
ControlNet
CNB
1756CNB
1.82E-07
9.10E-08
8.19E-08
9.10E-09
9.10E-08
Allen-Bradley
documento Using
ControlLogix in SIL2
Applications
Mdulo de
entrada
analgica
1756AI16
6.56E-07
3.28E-07
2.95E-07
3.28E-08
3.28E-07
Allen-Bradley
documento Using
ControlLogix in SIL2
Applications
ControlLogix
CPU
1756L63
4.52E-07
2.26E-07
2.03E-07
2.26E-08
2.26E-07
Allen-Bradley
documento Using
ControlLogix in SIL2
Applications
Mdulo de
salida digital
1756OB32
3.07E-07
1.54E-07
1.38E-07
1.54E-08
1.54E-07
Allen-Bradley
documento Using
ControlLogix in SIL2
Applications
Tabla 14: Clculo de probabilidad de fallo por hora (PFH)/probabilidad de fallo a demanda
(PFD) (fallos no detectados)
113
114
Tcnicas de fiabilidad
del personal de la planta por motivos de seguridad. sta es la funcin de seguridad que
ha atrado el objetivo del nivel de integridad de seguridad y, por lo tanto, el caso b)
anterior debe ser el punto de partida para el modelado de fiabilidad: una alarma
confirmada de gas garantiza la evacuacin del personal por motivos de seguridad.
La configuracin en la Figura 44 muestra seis detectores de gas posicionados en una
zona; la votacin del dispositivo de resolucin lgica 2oo6 est configurada para que
se adopte una accin ejecutiva si cualesquiera 2 sensores de los 6 detectan gas.
Zona 01
F&G
Accin ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votacin lgica 2oo6
Gas
G
F&G
Accin ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votacin lgica 2oo6
115
116
Tcnicas de fiabilidad
Nota: La probabilidad de fallo a demanda se calcula para las tasas de fallo y para los
tiempos de reparacin tpicos de los sensores y se da por supuesta una contribucin de
causas comunes en las configuraciones redundantes. Una tolerancia a fallos de cero en
este ejemplo representa una configuracin 2oo2, mientras que una tolerancia a fallos de
1 representa 2oo3, de 2 representa 2oo4, y as sucesivamente.
Los resultados demuestran que, en funcin de la arquitectura, o de la tolerancia a fallos
de hardware (HFT) seleccionada para el modelado, la probabilidad de fallo a demanda
calculada podra encontrarse en la banda SIL1, SIL2 o SIL3.
PFD del sistema F y G
1.00E+00
PFD
1.00E-01
2oo2
SIL1
1.00E-02
2oo3
2oo4
1.00E-03
1.00E-04
SIL2
2oo5
2oo6
SIL3
1
2
3
Tolerancia a fallos del hardware (HFT)
117
Configuracin
SIL (arquitectura)
2oo2
SIL1
2oo3
SIL2
4oo4
SIL3
118
Tcnicas de fiabilidad
Zona 01
Zona 02
Baliza
Baliza
Baliza
Baliza
Baliza
Baliza
Dispositivo de
resolucin
lgica F y G
Salidas 6oo6
Figura 47: Ejemplo configuracin sistema de alarma
La clave est en decidir cuntas balizas pueden verse y cuntas est permitido que fallen
sin ocasionar la prdida de la funcin de seguridad. En la configuracin del caso prctico
se decidi que en cada zona pudieran verse siempre 2 balizas de las 3 de la zona.
En una configuracin con estas caractersticas, un enfoque razonable sera modelar
cada zona 1 como 1oo2, puesto que solo es necesario ver 1 baliza. No obstante, puesto
que ambas zonas tienen que quedar protegidas, ambas deben incluirse en el modelo
(por ejemplo, 1oo2 + 1oo2).
Como ejemplo adicional, con 6 balizas en una sola zona se decidi que, en cualquier
momento, se pueden ver 4 de las 6 balizas (Figura 48). Entonces se necesitara
que funcionara una baliza de las 4 que pueden verse, por lo que las alarmas podran
modelarse como 1oo4.
119
Baliza
Baliza
Baliza
Baliza
Baliza
Dispositivo de
resolucin
lgica F y G
Salidas 6oo6
Figura 48: Ejemplo de configuracin de sistema de alarma (1 zona)
120
Tcnicas de fiabilidad
No obstante, existen excepciones. Cuando el peligro acarrea daos medioambientales o
a los activos o bienes, las alarmas por s solas no proporcionan proteccin y, por lo tanto,
puede ser necesario aislar la planta en cuanto a la deteccin de fuego o gas. En estos
casos, es necesario incluir el cierre y el aislamiento, tal y como se precise en el modelado
de fiabilidad de las funciones instrumentadas de seguridad del sistema de F y G.
12.31. Resumen
Se puede apreciar que el modelado del subsistema de entradas puede ofrecer resultados
optimistas si la configuracin de votacin lgica se modela en lugar de la tolerancia
a fallos de detectores. El mismo enfoque ofrece resultados muy pesimistas cuando se
modela el subsistema de salidas. Entre los dos subsistemas, el enfoque de modelado
adoptado puede dar lugar a una gran diferencia en el rendimiento arquitectnico y en la
probabilidad de fallo a demanda calculada y, por lo tanto, puede darse una gran variacin
en el nivel de integridad de seguridad delcarado.
Por tanto es importante adoptar un enfoque minucioso para el modelado de los sistemas
de F y G, y comprender claramente las tcnicas de modelado as como los peligros y los
sistemas analizados. As se logra una evaluacin precisa de la reduccin de riesgos a cargo
de un sistema de F y G y los usuarios finales no reciben informacin errnea por
declaraciones optimistas.
121
122
123
IEC 61511-1, 5
Gestin de la
seguridad funcional
IEC 61511-1, 11
Diseo e ingeniera
SIS
IEC 61511-1
Evaluacin SIL
Requisitos para
conformidad
IEC 61511-1, 12
Requisitos para
software de
aplicacin
Verificacin SIL
124
Verificacin SIL
hardware de 1 o una configuracin de 1oo3 o 2oo4 tendra una tolerancia a fallos de
hardware de 2.
Con respecto a estos requisitos, IEC 61508 [19.1] proporciona la siguiente orientacin
adicional:
una tolerancia a fallos de hardware de N significa que N+1 fallos podra causar
la prdida de la funcin de seguridad. Al determinar la tolerancia a fallos de
hardware, no deben contabilizarse otras medidas que pudieran controlar los
efectos de fallos tales como diagnsticos;
cuando un fallo conlleve directamente el suceso de uno o ms fallos
subsiguientes, se consideran como un solo fallo;
al determinar la tolerancia a fallos de hardware, pueden excluirse algunos fallos,
siempre y cuando la posibilidad correspondiente de que sucedan sea muy baja
con respecto a los requisitos de integridad de seguridad del subsistema.
Cualquier exclusin de dichos fallos se debe justificar y documentar.
Se utilizan las siguientes relaciones generales.
SFF = ( S + DD)/( S + D)
Donde:
D = DU + DD
Debe calcularse la fraccin de fallos seguros (SFF) de cada elemento de la funcin de
seguridad. El valor debe entonces usarse en la Tabla 16 para determinar el cumplimiento
normativo de nivel de integridad de seguridad (SIL) para el nivel de tolerancia a fallos de
hardware.
13.3.3. Restricciones arquitectnicas
IEC 61511-1, 11.4.5 permite evaluar la tolerancia a fallos de hardware mediante los
requisitos de IEC 61508-2, Tablas 2 y 3.
En la norma IEC 61508 [19.1] los subsistemas se dividen en dos categoras, tipo A o tipo B.
Por regla general, si los modos de fallo estn bien definidos, puede determinarse
completamente el comportamiento bajo condiciones de fallo y si a su vez hay datos de
campo adecuados y suficientes, el subsistema se considera entonces de tipo A. Si no se
cumple alguna de estas condiciones, el subsistema se considera entonces de tipo B.
Los dispositivos mecnicos simples tales como vlvulas se consideran generalmente
como tipo A. Los dispositivos de resolucin lgica suelen ser de tipo B dado que
125
<60%
SIL1
SIL2
SIL3
60% <90%
SIL2
SIL3
SIL4
90% <99%
SIL3
SIL4
SIL4
99%
SIL3
SIL4
SIL4
<60%
No permitido
SIL1
SIL2
60% <90%
SIL1
SIL2
SIL3
90% <99%
SIL2
SIL3
SIL4
99%
SIL3
SIL4
SIL4
126
Verificacin SIL
La evaluacin del rendimiento arquitectnico requiere que primero identifiquemos qu
tipo de elemento es cada uno, A o B. Puede determinarse generalmente con ayuda de
las definiciones que figuran en la Tabla 16. Por regla general se ha de estar seguro de los
modos de fallo y del comportamiento de fallo de un elemento y tener muy buenos datos
de fallos para poder considerarlo como tipo A. De lo contrario, el elemento debe
considerarse como tipo B.
Nuestros datos de fallo de cada elemento nos permiten entonces calcular la fraccin de
fallos seguros (SFF). El tipo de elemento y la fraccin de fallos seguros figuran debajo de
cada elemento en la Figura 50.
La tolerancia a fallos de hardware (HFT) se refiere al nivel de tolerancia a fallos de cada
elemento. Los transmisores de nivel funcionando en una configuracin 1oo2 tienen una
tolerancia a fallos de hardware de 1. Otros elementos no tienen tolerancia a fallos y por lo
tanto presentan una tolerancia a fallos de hardware de 0.
Por ltimo, el nivel de integridad de seguridad que puede declararse para el rendimiento
arquitectnico de cada elemento puede determinarse con ayuda de esta informacin en
la Tabla 16.
Conmutador
nivel
CCF 5%
PLC 1oo1
NE
SOV
Vlvula ESD
B
0.95
0
2
A
0.72
0
2
A
0.25
0
1
Conmutador
nivel
Tipo
SFF
HFT
SIL arquitectnico
SIL permitido (arq.)
SIL global permitido
A
0.40
1
2
1
SIL1
Los conmutadores de nivel son de tipo A; por lo tanto, se aplican los criterios de tipo A.
Con una fraccin de fallos seguros (SFF) de 0.40 y una tolerancia a fallos de 1, los
transmisores de nivel cumplen con las restricciones arquitectnicas de SIL2.
De forma similar puede evaluarse tambin la vlvula accionada por solenoide y la vlvula
de cierre de emergencia. La vlvula accionada por solenoide, tambin de tipo A, presenta
una tolerancia a fallos de 0 y una fraccin de fallos seguros (SFF) de 0.72 que da lugar a
SIL2. La vlvula de cierre de emergencia, de tipo A, con una tolerancia a fallos de 0 y una
fraccin de fallos seguros (SFF) de 0.25 da lugar a SIL1.
127
<60%
SIL2 (LT)
SIL3
60% <90%
SIL2 (SOV)
SIL3
SIL4
90% <99%
SIL3
SIL4
SIL4
99%
SIL3
SIL4
SIL4
<60%
no permitido
SIL1
SIL2
60% <90%
SIL1
SIL2
SIL3
90% <99%
SIL2 (PLC)
SIL3
SIL4
99%
SIL3
SIL4
SIL4
128
Verificacin SIL
13.4. Requisitos de seleccin de componentes y subsistemas, IEC 61511-1, 11.5
13.4.1. Enfoque
En el caso de aplicaciones del sector de procesos, la seleccin de componentes y de
subsistemas puede basarse en una evaluacin de idoneidad. Los objetivos son especificar
los requisitos:
para la seleccin de componentes y de subsistemas;
permitir que un componente o un subsistema se integre en la arquitectura de
una funcin instrumentada de seguridad;
especificar los criterios de aceptacin para los componentes y los subsistemas.
13.4.2. Requisitos generales, IEC 61511-1, 11.5.2
Este procedimiento no debe utilizarse para aplicaciones SIL4, sino que para el resto de
componentes y de subsistemas debe aplicarse lo siguiente.
La demostracin de idoneidad debe incluir una evaluacin de nivel de integridad
de seguridad basada en el clculo de la probabilidad de fallo a demanda y de las
restricciones arquitectnicas respecto a los objetivos.
La demostracin de idoneidad tambin debe tener en cuenta el hardware del
fabricante y la documentacin de software incorporada. En prctica, la documentacin
que acompae a los componentes y a los subsistemas seleccionados ser en forma de
especificaciones tcnicas que cubran el rendimiento funcional y medioambiental. La
especificacin de diseo funcional debe por lo tanto incluir un enunciado que justifique
la idoneidad de los componentes y de los subsistemas seleccionados de acuerdo a la
documentacin de especificaciones disponible del fabricante respecto a los requisitos
funcionales.
Los componentes y los subsistemas deben ser consistentes con la especificacin de
requisitos de seguridad. En la prctica, los componentes y los subsistemas se seleccionan
sobre la base de su capacidad para cumplir los requisitos de seguridad. La demostracin
de conformidad se lleva a cabo por evaluacin y siguen aplicndose los requisitos para las
restricciones arquitectnicas y la probabilidad de fallo a demanda.
13.4.3. Uso previo, IEC 61511-1, 11.5.3
En primer lugar, la seleccin del componente debe llevarse a cabo sobre la base de la
especificacin de suministro procedente de proveedores autorizados.
129
10000
X
0 fallos
1 fallo
5 fallos
10 fallos
15 fallos
1000
X
100
X
10
1
1.00E-07
1.00E-06
1.00E-05
Tasa de fallos especfica (/h)
130
1.00E-04
Verificacin SIL
Por ejemplo, si la tasa de fallo especfica es 1,00E-06/h y se han notificado cero fallos,
entonces a partir de la Figura 53 deben demostrarse aprox. 137 aos-dispositivo, que se
pueden lograr con 14 dispositivos funcionando sin fallo durante 10 aos. Si se notifican
fallos en la poblacin en el campo, entonces la tasa actual de fallo de dispositivos ser
mayor y, consecuentemente, se requerirn ms horas de funcionamiento exentas de
fallos para demostrar la misma tasa de fallos objetivo.
La figura se basa en una distribucin 2- a un lmite de confianza del 70%, y debe
utilizarse solamente como gua y para obtener una indicacin de cundo se ha
acumulado un nmero suficiente de aos-dispositivo.
IEC 61511 tambin requiere supervisin documentada de los datos de devolucin y
un proceso de modificacin a cargo del fabricante que evala el impacto de los fallos
notificados.
En la prctica, la informacin relativa a fallos raramente est disponible y la seleccin
puede, por lo tanto, incluir una evaluacin de los componentes y de los subsistemas para
asegurarse de que su rendimiento ser el requerido. Esta evaluacin puede requerir
discusiones con otros usuarios o con fabricantes o usuarios de dispositivos o aplicaciones
similares. Esta evidencia justificativa debe documentarse en la especificacin de diseo
funcional (FDS) como parte de la idoneidad de los componentes y de los subsistemas.
13.4.4. Dispositivos programables en lenguaje de programa fijo (FPL), IEC 61511-1, 11.5.4
Si van a usarse componentes y subsistemas programables en lenguaje de programa fijo
(FPL), (por ejemplo, dispositivos de campo), deben cumplirse para las aplicaciones SIL1 y
SIL2 todos los requisitos generales [13.4.2], los requisitos para uso previo [13.4.3] y los
siguientes requisitos para componentes y subsistemas programables FPL.
Adems, en cada componente seleccionado, la especificacin de diseo funcional (FDS)
debe justificar la seleccin de los componentes FPL haciendo constar que el componente
cumple con los requisitos especificados en cuanto a funcionalidad; para ello debe incluir:
a)
b)
c)
d)
131
132
Verificacin SIL
En el caso de las aplicaciones de resolucin lgica SIL2, la especificacin de diseo
funcional debe confirmar la tcnica de proteccin empleada frente a los siguientes
fallos durante la ejecucin del programa:
a) monitorizacin de la secuencia del programa;
b) proteccin del cdigo frente a las modificaciones o deteccin de fallos con
monitorizacin en lnea;
c) afirmacin de fallo o programacin diversa;
d) comprobacin de rango de variables o comprobacin de plausibilidad de
valores;
e) enfoque modular;
f ) se han utilizado estndares de codificacin apropiados para el software
incorporado.
Adems, debe demostrarse lo siguiente:
g) se ha probado en configuraciones tpicas, con casos de prueba representativos
de los perfiles de operacin previstos;
h) se han usado mdulos y componentes de software verificados y fiables;
i) el sistema ha sido sometido a un anlisis y prueba de tipo dinmico;
j) el sistema no utiliza inteligencia artificial ni reconfiguracin dinmica;
k) se ha llevado a cabo una prueba documentada de insercin de fallos.
En el caso de aplicaciones SIL2, la especificacin de diseo funcional debe identificar
restricciones para el funcionamiento, el mantenimiento y la deteccin de fallos que cubra
las configuraciones del dispositivo de resolucin lgica electrnico programable (PE) y los
perfiles de funcionamiento previstos.
En el caso de aplicaciones SIL3, la documentacin debe presentar homologacin SIL para
todos los dispositivos de resolucin lgica LVL.
13.4.6. Dispositivos de programacin en lenguaje de variabilidad completa (FVL),
IEC 61511-1, 11.5.6
La documentacin debe presentar homologacin SIL para todos los dispositivos de
resolucin lgica de lenguaje de variabilidad completa (FVL).
13.5. Dispositivos de campo, IEC 61511-1, 11.6
Para seleccionar los dispositivos de campo, deben cumplirse todos los requisitos
generales [13.4.2], los requisitos para uso previo [13.4.3] y los siguientes requisitos para
dispositivos de campo. Si procede, tambin deben cumplirse los requisitos para los
dispositivos programables en lenguaje de programa fijo (FPL).
133
134
Verificacin SIL
13.7. Requisitos de diseo relativos al mantenimiento o a pruebas, IEC 61511-1, 11.8
El diseo del sistema instrumentado de seguridad debe ser tal que la prueba pueda
llevarse a cabo de forma integral o por partes. Debe tener en cuenta lo siguiente segn
proceda:
Prueba de calidad en lnea. El diseo de prueba debe asegurar que los fallos no
detectados puedan descubrirse de forma adecuada;
Instalaciones de prueba y omisin. El operario debe ser alertado en caso de que
una parte del sistema instrumentado de seguridad (SIS) se haya omitido con
fines de mantenimiento o prueba;
No debe permitirse un forzado de entradas y de salidas sin establecer el
sistema instrumentado de seguridad fuera de lnea a menos que existan
procedimientos y medidas de seguridad adecuadas. En cuanto a la funcin
de bypass, debe informarse al operario si se fuerza alguna entrada/salida.
13.8. Probabilidad de fallo de funciones instrumentadas de seguridad (SIF),
IEC 61511-1, 11.9
Ver apartado [14].
13.9. Requisitos para el software de aplicacin, IEC 61511-1, 12
IEC 61511-1, 12 lista los requisitos que se aplican a cualquier software que forme parte de
un sistema instrumentado de seguridad o que se utilice para desarrollar uno. El requisito
define los requisitos del ciclo de vida de seguridad del software de aplicacin para
garantizar que:
todas las actividades requeridas para desarrollar el software de aplicacin estn
definidas;
las herramientas de software que se utilizan para desarrollar y verificar el
software de aplicacin, es decir, el software de utilidad est totalmente
definido;
se ha adoptado un plan para cumplir con los objetivos de seguridad funcional.
El requisito general es definir las fases aplicables del ciclo de vida de seguridad del
software que se vaya a considerar y documentar toda la informacin relevante. Esto
incluye lo siguiente:
especificacin de requisitos de seguridad del software; similar a los requisitos
de hardware, debe definirse una especificacin que liste todos los requisitos de
seguridad del software de manera clara y estructurada que permita al equipo
de diseo desarrollar el software de aplicacin de forma correspondiente;
135
136
Modo a demanda
Probabilidad de fallo a
demanda
Modo continuo
Tasa de fallo por hora
SIL4
10-5 a <10-4
10-9 a <10-8
-4
SIL3
10 a <10
-3
10-8 a <10-7
SIL2
10-3 a <10-2
10-7 a <10-6
SIL1
10-2 a <10-1
10-6 a <10-5
Tabla 17: Probabilidad de fallo a demanda (PFD) y tasas de fallo especficas de nivel de
integridad de seguridad (SIL)
137
138
Purga
hidrulica
Lgica
ESD
Vlvula
solenoide
Transmisor
de presin
PT
Proceso y BPCS
Controlador
de presin
PC
Entrada
gasoducto
Vlvula
cierre
Exportacin
gasoducto
Vlvula
control presin
139
Transmisor
de presin
Lgica
ESD
Vlvula
solenoide
Vlvula
cierre
DD
MTD
Configuracin PFD
2.64E-07
48
1.27E-05
3.42E-06
48
1.64E-04
0.00E+00
48
0.00E+00
0.00E+00
48
0.00E+00
DU
Periodo de prueba de calidad
Configuracin PFD
4.00E-08
8760
1.75E-04
1.63E-07
8760
7.14E-04
6.00E-07
8760
2.63E-03
4.64E-06
8760
2.03E-02
PFD (descubierta)
PFD (no descubierta)
PFD
SIL permitido (PFD)
1.77E-04
2.38E-02
2.40E-02
SIL1
140
141
Lgica (2oo3)
AI
1oo2
AI
1oo2
AI
1oo2
DI
DI
DI
DO
-005S-P
Transmisor
de presin
PT0500H
Barrera IS
ROV0501
Transmisor
temperatura
PT0500H
ROV0503
Conmutador
manual
Conmutador
manual
Iniciador
Accin
ESD
Presin elevada
Activa
[PT0500H] o
S-005
temperatura
elevada [TT0504HH]
Condiciones requeridas
para mitigar el peligro
Objetivo
de la PFD
Objetivo
del SIL
ROV0503 y
ROV0501- apertura
5.56E-03
SIL2
142
Factor
Justificacin
Sensores PT0500,
TT0504
3%
Dado que los sensores son una tecnologa diferente que mide
diferentes variables de procesos, el potencial para fallos por
causas comunes est limitado al proceso en s mismo, al
mecanismo para fijar los sensores y al enrutado y la separacin
de las conexiones de los sensores. El valor de 3% se considera
por lo tanto un valor razonablemente conservador.
5%
143
144
Descripcin
DU
DD
SFF
Dispositivos de entrada
PT 0500
1.5E-06
1.4E-06
6.0E-07
7.5E-07
1.5E-07
0.60
PT 0501
1.5E-06
1.4E-06
6.0E-07
7.5E-07
1.5E-07
0.60
PB 0500
2.1E-07
6.3E-08
6.3E-08
0.0E+00
1.5E-07
0.70
PB 0501
2.1E-07
6.3E-08
6.3E-08
0.0E+00
1.5E-07
0.70
FT 0041
2.6E-06
2.2E-06
9.0E-07
1.3E-06
4.0E-07
0.65
TT 0504
2.0E-06
1.4E-06
4.0E-07
1.0E-06
6.0E-07
0.80
HS 2004
Conmutador de anulacin
2.00E-06
8.00E-07
8.00E-07
0.00E+00 1.20E-06
0.60
HS0900
Conmutador permisivo
2.00E-06
8.00E-07
8.00E-07
0.00E+00 1.20E-06
0.60
Dispositivos lgicos
CPU
CPU
1.51E-06
5.16E-07
6.42E-09
5.09E-07
9.91E-07
1.00
Mdulo DI
32pt
Mdulo DI 32pt
2.19E-08
1.09E-08
9.91E-11
1.08E-08
1.09E-08
0.99
Mdulo AI
32pt
Mdulo AI 32pt
1.40E-08
7.00E-09
9.86E-11
6.90E-09
7.00E-09
0.99
Mdulo DO
16pt
Mdulo DO 16pt
2.95E-08
1.47E-08
9.93E-11
1.46E-08
1.47E-08
0.99
Dispositivos de salida
39-PM-050
Estado de funcionamiento de la
bomba desde el contactor y rel
SIN contacto
3.0E-07
2.0E-07
1.95E-07
0.00E+00 1.05E-07
0.35
ROV 0501
5.07E-06
1.35E-06
1.35E-06
0.00E+00 3.72E-06
0.734
ROV 0503
5.07E-06
1.35E-06
1.35E-06
0.00E+00 3.72E-06
0.734
ROV 0404
9.72E-06
3.03E-06
3.03E-06
0.00E+00 6.69E-06
0.688
ROV 0405
5.07E-06
1.35E-06
1.35E-06
0.00E+00 3.72E-06
0.734
ROV 0406
5.07E-06
1.35E-06
1.35E-06
0.00E+00 3.72E-06
0.734
Tabla 20: Tasas de fallo (/h) y clculo de fraccin de fallos seguros (SFF)
145
24
meses
17,520
horas
meses
4380
horas
36
meses
26,280
horas
meses
2190
horas
146
147
7.50E-07
1.00E-06
Bifurcacin B
3.58E-06
4.91E-03
4.92E-03
2
B
0.60
1
2
2
PFD (descubierta)
PFD (no descubierta)
PFD
SIL permitido (PFD)
Tipo
SFF
Redundancia
SIL arquitectnico
SIL permitido (arq.)
DU [bifurcacin A]
6.00E-07
DU [bifurcacin B]
4.00E-07
DU para bifurcacin
Periodo de prueba de calidad, T
Configuracin PFD
DD [bifurcacin A]
DD [bifurcacin B]
DD para bifurcacin
MDT
Configuracin PFD
Contribucin CCF
Cant.
Configuracin
TT 0504
Bifurcacin A
PT 0500
A
0.70
0
2
17,520
2.71E-05
6.30E-08
0.00E+00
72
3.89E-09
0.00E+00
0.00E+00
1
1oo2
PB 0500
8.00E-07
4380
1.75E-03
1.99E-08
17,520
1.74E-04
A
0.60
0
2
8.00E-07
1.99E-08
0.00E+00
0.00E+00
72
0.00E+00
2.25E-08
HS 2004
2.25E-08
72
1.62E-06
3%
CCF
9.86E-11
6.90E-09
B
>99
1
3
6.42E-09
5.09E-07
CPU
Mdulo AI
32pt
CPU
CPU
Mdulo AI
32pt
Mdulo AI
32pt
B
>99
1
3
9.91E-11
1.08E-08
Mdulo DI
32t
Mdulo DI
32pt
Mdulo DI
32pt
B
>99
1
3
6.72E-09
26,280
3.11E-08
9.93E-11
5.42E-07
72
4.56E-09
1.46E-08
1
2oo3
Mdulo DO
6pt
Mdulo DO
6pt
Mdulo DO
16pt
3.36E-10
26,280
4.41E-06
3.36E-10
2.71E-08
72
1.95E-06
2.71E-08
5%
1
CCF
DD
DU
Tipo
SFF
MDT
Tp
Fuente
de
datos
PT0500
1.35E06
8.18E07
7.50E07
6.80E08
5.27E07
0.95
4380
4380
exida
[14.8.2]
Dispositivo
5.57Ede resolucin 06
lgica SIL3
2.23E06
2.21E06
2.20E08
3.34E06
1.00
168
4380
Sintef
[14.8.8]
Mdulo de
entrada
analgica
1.07E06
5.34E07
5.08E07
2.60E08
5.34E07
0.98
168
4380
Sintef
[14.8.8]
Mdulo de
salida
discreta
5.26E07
2.63E07
2.50E07
1.30E08
2.63E07
0.98
168
4380
Sintef
[14.8.8]
2.12E06
0.00E+
00
2.12E06
3.17E06
0.60
730
4380
Oreda
2002
[14.8.6]
148
149
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Especificacin de requisitos de
seguridad para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
150
151
152
Funcionamiento y mantenimiento
16. Funcionamiento y mantenimiento, IEC 61511-1, 16
16.1. Fases del ciclo de vida
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Especificacin de requisitos de
seguridad para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
Los objetivos de esta fase tal y como se define en IEC 61511-1, 16.1 son:
Garantizar que el nivel de integridad de seguridad requerido de cada funcin
instrumentada de seguridad se mantenga durante el funcionamiento y el
mantenimiento [16.2];
Utilizar y efectuar el mantenimiento del sistema instrumentado de seguridad,
de tal manera que se mantenga la seguridad funcional diseada [16.3].
153
peligros;
puntos de disparo;
acciones ejecutivas;
funcionamiento de todos los bypasses y cualquier restriccin sobre su uso;
operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restriccin
relativa a su uso;
funcionamiento de alarmas y diagnsticos disponibles.
154
Funcionamiento y mantenimiento
16.4. Pruebas de calidad
Los procedimientos de pruebas de calidad deben poner a prueba las funciones
instrumentadas de seguridad (SIF) completas, desde el elemento de deteccin hasta el
dispositivo final accionado. El intervalo de prueba de calidad debe ser el mismo que se
utilice en la cuantificacin de la probabilidad de fallo a demanda (PFD) [14].
Se acepta probar distintos elementos de las funciones instrumentadas de seguridad (SIF)
a intervalos diferentes siempre y cuando:
la probabilidad de fallo a demanda (PFD) calculada siga siendo aceptable;
haya cierta superposicin en la prueba para que ninguna parte de las funciones
instrumentadas de seguridad se quede sin ser sometida a prueba.
155
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Especificacin de requisitos de
seguridad para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
Los objetivos de esta fase tal y como se define en IEC 61511-1, 17.1 y 18.1 son garantizar
que:
toda modificacin relativa a cualquier funcin instrumentada de seguridad (SIF)
se planifique, revise y apruebe convenientemente antes de implementar el
cambio [17.2];
la integridad de seguridad requerida se mantenga despus de cualquier cambio
que se haya llevado a cabo [17.3];
antes de proceder al desmantelamiento, se efecte una revisin apropiada y se
consiga autorizacin para asegurarse de que la integridad de seguridad quede
garantizada durante el desmantelamiento [17.4].
156
Modificacin y desmantelamiento
17.2. Modificacin de funciones instrumentadas de seguridad (SIF)
Antes de proceder a cualquier modificacin, deben existir procedimientos para la
autorizacin y el control de los cambios. Esto se gestiona generalmente con una nota de
solicitud de cambio (CRN), que normalmente forma parte de un sistema de gestin de
calidad (QMS).
Cualquier solicitud de cambio debe describir el cambio requerido y las razones para la
solicitud. Esto lo puede proponer el personal de F y M como resultado de incidentes
durante el funcionamiento o el mantenimiento. El proceso de aprobacin habitual de
solicitudes de cambio debe englobar a distintos departamentos dentro de una
organizacin para determinar el impacto del cambio relativo al diseo, la base instalada
y la implementacin requerida.
Una vez que una organizacin est involucrada en la seguridad funcional, cualquier
solicitud de cambio debe adems ser revisada por una persona competente, p. ej. la
autoridad de seguridad (SA), para determinar si el cambio puede afectar la seguridad y,
en tal caso, se requiere un anlisis de impacto adecuado.
17.3. Anlisis de impacto
Los resultados del anlisis pueden requerir una nueva inspeccin de las primeras partes
del ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros identificados y las
evaluaciones de riesgos. Las actividades de modificacin no pueden empezar sino hasta
que este proceso haya sido completado y la autoridad de seguridad haya autorizado el
cambio.
El impacto de los cambios relativos a las funciones instrumentadas de seguridad puede
afectar consecuentemente al personal de F y M, y podra ser necesaria formacin
adicional.
17.4. Desmantelamiento de funciones instrumentadas de seguridad (SIF)
El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del ciclo
de vida, y debe tratarse como una modificacin al final de la vida del proyecto.
El comienzo de la fase de desmantelamiento se debe iniciar un anlisis de impacto
para determinar el efecto del desmantelamiento en la seguridad funcional. El anlisis
debe incluir la revisin de la identificacin de peligros y la evaluacin de riesgos, con
consideracin particular de los peligros que pueden ocurrir como resultado de la
actividad de desmantelamiento.
157
11
Estructura y planificacin del ciclo de vida de la seguridad
Asignacin de funciones de
seguridad a capas de proteccin
Especificacin de requisitos de
seguridad para el SIS
Diseo e ingeniera
para el SIS
Funcionamiento y
mantenimiento
Modificacin
Desmantelamiento
Diseo y
desarrollo de
otros medios
de reduccin
de riesgo
Verificacin
10
El objetivo de esta fase, tal y como se define en IEC 61511-1, 5, es identificar las
actividades de gestin y la documentacin necesarias con el fin de habilitar las fases
del ciclo de vida aplicables para que puedan ser abordadas convenientemente por
los responsables respectivos.
La norma lista requisitos generales para la gestin y la documentacin para permitir que
las fases del ciclo de vida aplicables sean abordadas adecuadamente por los respectivos
responsables.
158
Descripcin
Poltica y comunicaciones
Debe estar implementada una poltica de seguridad
funcional que debe comunicarse en toda la organizacin.
Se recomienda que el contenido de la poltica incluya
objetivos de seguridad funcionales especficos junto con los
medios de evaluacin sobre si se han logrado y el mtodo de
comunicacin dentro de la organizacin.
159
Descripcin
Roles y responsabilidades
Deben identificarse todas las personas, departamentos y
organizaciones responsables de ejecutar y revisar las actividades
relacionadas con la seguridad, y sus responsabilidades deben
quedar definidas de forma clara.
Por lo general, en una organizacin, se puede lograr con la
publicacin de diagramas que identifiquen a las personas y sus
roles. Las descripciones de trabajo identificaran entonces las
responsabilidades asignadas a cada rol.
Competencia
La competencia de todas las personas responsables definidas
anteriormente debe quedar documentada.
Debe haber procedimientos implementados para asegurarse de
que las personas responsables tengan la competencia apropiada
para las actividades que les sean asignadas. El procedimiento debe
incluir la revisin y la evaluacin de la competencia, adems de las
necesidades de formacin.
La documentacin relativa a la competencia debe considerar:
a) conocimientos de ingeniera (aplicables al proceso, la tecnologa,
la novedad y la complejidad de la aplicacin, los sensores y los
elementos finales);
b) gestin adecuada y habilidades de liderazgo apropiadas al rol en
el ciclo de vida de seguridad;
c) comprensin de la consecuencia potencial del evento;
integridad de la seguridad de las funciones instrumentadas de
seguridad; ingeniera de seguridad y requisitos normativos
legales y de seguridad.
Planificacin
La planificacin debe asegurar que la gestin, la verificacin y las
actividades de evaluacin de la seguridad funcional tengan un
calendario y que se apliquen en las fases relevantes del ciclo de vida.
La planificacin debe estar incluida en el plan de calidad del
proyecto y debe identificar todas las actividades relacionadas con
la seguridad, la temporizacin y las organizaciones o individuos
responsables.
Cada actividad relacionada con la seguridad puede incluir
referencias a procedimientos o a prcticas laborales, a desarrollo
o a herramientas de produccin.
Implementacin y supervisin de
IEC 61511-1, 5.2.5
Deben implementarse procedimientos para asegurar
el seguimiento rpido y la resolucin satisfactoria de
las recomendaciones derivadas de:
a) anlisis de peligro y evaluacin de riesgos;
b) evaluacin y auditoras;
c) verificacin y validacin;
d) actividades posteriores al incidente.
Implementacin y supervisin
Los procedimientos deben permitir obteber recomendaciones
basadas en actividades de anlisis y revisin, y debe
implementarse un mtodo para revisar y dar seguimiento de las
recomendaciones para su resolucin.
Debe haber un procedimiento que asegure que se pueda abordar
cualquier recomendacin basada en los incidentes o peligros.
160
Descripcin
Gestin de proveedores
Los proveedores deben entregar productos conforme a las
especificaciones y deben contar con un sistema de gestin de
calidad apropiado. Por lo general, el suministro debe proceder de
una lista de proveedores aprobados y con un control conforme a
la especificacin de suministro.
Debe haber implementados procedimientos para auditar la
aprobacin de proveedores.
161
Descripcin
Gestin de configuracin
Los procedimientos para la gestin de configuracin,
la iniciacin de la modificacin, el procedimiento de
aprobacin y el aseguramiento del seguimiento de
peticiones de cambio probablemente ya existan en
un sistema de gestin de calidad tpico.
Sin embargo, al considerar cambios respecto a una funcin
de seguridad, debe existir algn tipo de anlisis del impacto
con el fin de determinar si el caso podra comprometer la
seguridad y a qu punto retornar dentro del ciclo de vida con
el fin de empezar el proceso de reevaluacin.
Puede ser necesario un procedimiento para realizar el anlisis
de impacto y gestionar la reevaluacin.
162
163
164
Referencias
19. Referencias
19.1. IEC 61508:2010, Functional Safety of Electrical/Electronic/Programmable
Electronic Safety Related Systems.
19.2. IEC 615112004: Functional Safety: Safety Instrumented Systems for the
Process Industry.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),
2001
19.5. IEC 61784-3:2010 Industrial Communications Networks. Profiles Part-3:
Functional safety Fieldbuses General Rules and profile Definitions.
19.6. Derivation of the Simplified PFDavg Equations, D Chauhan,
Rockwell Automation (FSC).
19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,
Rockwell Automation (FSC).
19.8. Functional Safety: Safety Instrumented Systems for the Process Industry
Sector. ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod).
165
Dos de tres circuitos lgicos (circuito lgico 2/3) Un circuito lgico con tres entradas
independientes. La salida del circuito lgico tiene el mismo estado que cualquiera de
los dos estados de entrada coincidentes. Por ejemplo, un circuito de seguridad en el
que hay tres sensores y una seal de cualquiera de estos dos sensores es necesaria para
solicitar un cierre. Este sistema 2oo3 se considera tolerante a un solo fallo (HFT = 1),
es decir, en caso de que uno de los sensores falle peligrosamente, el sistema podra
desconectarse con seguridad. Otros sistemas de votacin incluyen 1oo1, 1oo2, 2oo2,
1oo3 y 2oo4.
ALARP
Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable).
La filosofa de tratar con riesgos que se hallan entre un extremo superior e inferior. El
extremo superior es donde el riesgo es tan grande que es rechazado completamente,
mientras que el extremo inferior es donde el riesgo es o se ha logrado que sea
insignificante. Esta filosofa considera los costes y los beneficios de la reduccin de
riesgos para hacer que el riesgo sea tan bajo como resulte razonablemente
practicable.
Anlisis de rbol de
eventos
Apertura en error
Arquitectura
BPCS
Capa de proteccin
Ver IPL.
Cierre en error
Cobertura de
diagnstico
Medicin de la capacidad del sistema para detectar fallos. Se trata de una relacin entre
las tasas de fallos para fallos detectados y la tasa de fallo de todos los fallos en el
sistema.
Cobertura de prueba
de calidad
Consecuencia
Magnitud de dao o medicin del resultado de un evento perjudicial. Uno de los dos
componentes utilizados para definir un riesgo.
Diagnsticos D
166
Definiciones
Diagrama de rbol de
fallos
Diagrama de bloques
de fiabilidad
Diagrama de causa y
efecto
Disparo errneo
Disponibilidad
E/E/PE
Elctrico/electrnico/
el ectrnico
programable
Estado de seguridad
El estado del proceso despus de actuar para eliminar el peligro, y que no conlleva
ningn dao significativo.
Fallo aleatorio
Fallo peligroso
Fallo seguro
Fallo que no tiene potencial para poner el sistema de seguridad en estado de peligro o
de anomala de funcionamiento. Situacin que se da cuando un sistema o componente
relacionado con la seguridad falla a la ejecucin, de manera que se requiere la
desactivacin del sistema o la activacin de la funcin instrumentada de seguridad
cuando no hay ningn peligro presente.
167
Fallo que ocurre de manera predecible y determinista (no aleatoria) como resultado de
una causa concreta, y que solo puede eliminarse con la modificacin del diseo o del
proceso de fabricacin, procedimientos operacionales, documentacin u otros factores
relevantes. Dado que estos elementos no son predecibles desde un punto de vista
matemtico, el ciclo de vida de la seguridad incluye un gran nmero de procedimientos
para evitar que ocurran. Los procedimientos son ms rigurosos para sistemas y
componentes con un nivel de integridad de seguridad ms elevado. Este tipo de
errores no pueden evitarse con una redundancia simple.
Fiabilidad
FMECA
Anlisis de modos de fallo, efectos y nivel de criticidad (Failure Modes Effects and
Criticality Analysis). Se trata de un anlisis detallado de los diferentes modos de fallo y
anlisis de criticidad para un equipo individual.
Fraccin de fallos
seguros
Ver SFF.
HAZOP
HFT
HSE (UK)
IEC
IEC 61508
IEC 61511
168
Definiciones
Incidente
Intervalo de prueba
de calidad
IPL
Lambda
LOPA
Modo (continuo)
Cuando las demandas de activacin de una funcin de seguridad (SIF) son frecuentes
en comparacin con el intervalo de prueba de las funciones instrumentadas de
seguridad (SIF). Ntese que otros sectores definen un modo de alta demanda
independiente, basado en si los diagnsticos son capaces de reducir la tasa de
accidentes. En cualquier caso, el modo continuo es aquel en el que la frecuencia de
un accidente no deseado se determina esencialmente por la frecuencia de un fallo
peligroso de funcin instrumentada de seguridad (SIF). Cuando falla la funcin
instrumentada de seguridad, la demanda de accin correspondiente tiene lugar en
un intervalo de tiempo ms corto que la prueba de funcin, por lo que no es relevante
hablar de su probabilidad de fallo. Bsicamente todos los fallos peligrosos de una
funcin instrumentada de seguridad (SIF) en funcionamiento de modo continuo sern
descubiertos por una demanda de proceso en lugar de una prueba de funcin. Ver
modo de demanda baja, modo de demanda elevada y SIL.
Modo (demanda baja) (tambin modo a demanda segn IEC 61511) cuando las demandas para activar la
funcin instrumentada de seguridad son poco frecuentes en comparacin con el
intervalo de prueba de las funciones instrumentadas de seguridad. La industria de
proceso define este modo cuando las demandas para activar las funciones
instrumentadas de seguridad son inferiores a uno de cada dos intervalos de prueba
de calidad. El modo de demanda baja de la operacin es el modo ms comn en las
industrias de procesos. Al definir el nivel de integridad de seguridad para el modo de
demanda baja, el rendimiento de una funcin instrumentada de seguridad (SIF) se
mide en trminos de promedio de probabilidad de fallo a demanda (PFDavg). En este
modo a demanda, la frecuencia del evento iniciador, modificada por la probabilidad de
fallo a demanda de las funciones instrumentadas de seguridad (SIF) por la tasa de
demanda y cualquier capa de proteccin en la rama descendente determinan la
frecuencia de accidentes no deseados.
169
(tambin modo continuo segn IEC 61511) Similar al modo continuo salvo que a los
diagnsticos automticos se les asigna una contabilizacin especfica. La divisin entre
demanda elevada y modo continuo se aplica cuando los diagnsticos automticos son
ejecutados muchas veces ms rpido que la tasa de demanda de la funcin de
seguridad. Si los diagnsticos son ms lentos que sta, entonces no se contabilizan y se
aplica el modo continuo.
Modos de fallo
MTTR
Ocupacin
P&ID
Peligro
Potencial de daos.
PFDavg
Posibilidad
Probado en uso
Proteccin en caso de
fallos (o mejor
desenergizar a
disparo)
170
Definiciones
Prueba de calidad
Prueba de los componentes del sistema de seguridad para detectar cualquier fallo no
detectado por los diagnsticos automticos en lnea, es decir, fallos peligrosos, fallos de
diagnstico, fallos de parmetros seguidos por la reparacin de dichos fallos hasta
conseguir el equivalente a un estado nuevo. La prueba de calidad es una parte vital del
ciclo de vida de seguridad y es crtica para asegurar que un sistema consigue el nivel de
integridad de seguridad requerido a lo largo del ciclo de vida de seguridad.
Redundancia
Restricciones
arquitectnicas
RRF
Seguridad funcional
Ausencia de riesgo inaceptable que se consigue a travs del ciclo de vida de seguridad.
Ver IEC 61508, IEC 65111, ciclo de vida de seguridad, y riesgo tolerable.
SFF
SIF
SIL
SIS
171
Sistema que responde a seales de entrada procedentes del proceso, equipo asociado
y/o un operario, y que genera seales de salida que hacen que el proceso y el equipo
asociado funcionen de una manera determinada. El sistema bsico de control de
proceso (BPCS) no puede ejecutar ninguna funcin instrumentada de seguridad
clasificada con un nivel de integridad de seguridad de 1 o mayor a menos que cumpla
los requisitos probados en uso. Ver Probado en uso.
Tasa de fallos
Nmero de fallos por unidad de tiempo de un elemento del equipo. Por regla general
se asume que es un valor constante. Se puede desglosar en varias categoras como:
seguro y peligroso, detectado y no detectado e independiente/normal y causa comn.
Debe prestarse atencin a fin de garantizar que la prueba de funcionamiento y el
desgaste se aborden convenientemente para que el supuesto de la tasa de fallo
constante sea vlido.
Tolerancia a fallos
172
Abreviaturas
Abreviaturas
D
DD
DU
S
1oo1
1oo2
AI
ANSI
ALARP
BMS
BPCS
C&E
CBA
CCF
COMAH
DCS
DD
DI
DO
DU
E/E/PES
ESD
ESDV
FyG
FyM
f/h
Fallo peligroso
Fallo seguro
FC
FDS
FMECA
FO
FPL
FSC
FVL
HAZAN
HASAW
HAZOP
HFT
HIPPS
HSE
I/O
IEC
IPL
ISA
LOPA
LVL
MDT
MooN
Tasa de fallo, relacin del nmero total de fallos que ocurren en un perodo determinado
de tiempo
Tasa de fallo de fallos peligrosos
Tasa de fallo de fallos peligrosos detectados mediante diagnsticos
Tasa de fallo de fallos peligrosos no detectados mediante diagnsticos
Tasa de fallo de fallos de seguridad
Votacin 1 de 1 (Simplex)
1 de 2
Entrada analgica (Analogue Input)
Instituto Nacional Americano de Normalizacin (American National Standards Institute)
Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable)
Sistema de gestin de quemadores (Burner Management System)
Sistema bsico de control de proceso (Basic Process Control System)
Causa y efecto (Cause and Effect)
Anlisis de costes y beneficios (Cost Benefit Analysis)
Fallo por causas comunes
Control de principales peligros de accidente (Control Of Major Accident Hazards)
Sistema de control distribuido (Distributed Control System)
Peligroso detectado (Dangerous Detected)
Entrada digital (Digital Input)
Salida digital (Digital Output)
Peligroso no detectado
Sistema elctrico/electrnico/electrnico programable (Electrical/Electronic/Programmable
Electronic System)
Cierre de emergencia (Emergency Shutdown)
Vlvula de cierre de emergencia (Emergency Shutdown Valve)
Fuego y gas (Fire and Gas)
Funcionamiento y mantenimiento
Fallos por hora (Failures per hour)
Modo de fallo que tiene el potencial de poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento
Modo de fallo que no tiene potencial para poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento.
Fallo de cierre (Fail Closed)
Especificacin de diseo funcional (Functional Design Specification)
Modos de fallo, anlisis de efectos y criticidad (Failure Modes, Effects and Criticality Analysis)
Fallo de apertura (Fail Open)
Lenguaje programable fijo (Fixed Programmable Language)
Capacidad de seguridad funcional (Functional Safety Capability)
Lenguaje de variabilidad completa (Full Variability Language)
Anlisis de peligros (Hazard Analysis)
Ley de Salud y Seguridad en el Trabajo (Health and Safety at Work Act (HSW))
Estudio de peligros y operabilidad (Hazard and Operability Study)
Tolerancia a fallos de hardware (Hardware Fault Tolerance)
Sistema de proteccin de presin de alta integridad (High Integrity Pressure Protection
System)
Autoridad de Salud y Seguridad en el Reino Unido (Health and Safety Executive)
Entrada/salida (Input/Output)
Comisin Electrotcnica Internacional (International Electrotechnical Commission)
Capa de proteccin independiente (Independent Protection Layer)
Sociedad Internacional de Automatizacin (International Society of Automation)
Anlisis de capas de proteccin (Layer of Protection Analysis)
Lenguaje de variabilidad limitada (Limited Variability Language)
Tiempo improductivo medio (Mean Down Time)
M de N (caso general)
173
174
175
176
Tambin disponible:
Manual de seguridad 4 Sistemas de control relacionados
con la seguridad de maquinaria.
Esta prctica gua trata los principios relativos a la seguridad de
la maquinaria, adems de la legislacin, la teora y la prctica.
Nmero de publicacin: SAFEBK-RM002B
Seguridad funcional en
la industria de proceso
Principios, normas e implementacin