Apunte AADECA Seguridad Funcional PDF

Introduccin a la
Seguridad Funcional
Ing. Qco. Roberto E. Varela

Propiedad de la Informacin
El material de este curso es de propiedad del instructor y por ninguna circunstancia este
material, o parte del mismo, podr ser reproducido o transmitido en ningn formato, o
medio, ya sea mecnico o electrnico. Esto incluye fotocopiado, microfilmado, registro o
almacenamiento en computadoras sin el consentimiento previo y por escrito del
instructor.
Por informacin adicional dirigirse a:
Ing. Roberto E. Varela

Av. Belgrano 1828 - 4 D
C1094AAN Ciudad de Buenos Aires
Tel.: +54 11 4383 3223
E-mail: RobertoEduardo.Varela@telmexnet.com
Ing. Qco. Roberto E. Varela MARZO 26, 2007

Notas
La informacin contenida en el curso consiste en conceptos fundamentales de

Seguridad Funcional y de Sistemas Instrumentados de Seguridad (SIS). Esta
informacin no est diseada sobre, ni describe, la operacin de una instalacin
especfica. Cualquier similitud con la operacin de un proceso existente es solamente
una mera coincidencia.
El instructor no asume ninguna responsabilidad por el material del curso mas all del
propsito definido de entrenar a los asistentes en los fundamentos bsicos de
Seguridad Funcional.
El material provisto no ser utilizado, ya sea en forma parcial o total, para otros cursos
de entrenamiento que aquellos dictados por el instructor.
Las marcas y productos mencionados en las filminas son propiedad de los fabricantes.

Temas de Anlisis

Temas de anlisis
Accidentes industriales emblemticos

Lecciones aprendidas
Qu es Seguridad?
Qu es Seguridad Funcional?
Gestin de la Seguridad Funcional
Si en la planta no ha ocurrido un incidente en los ltimos 15 aos
que haya puesto en riesgo la seguridad, es una planta segura?
Qu es un Sistema Instrumentado de Seguridad SIS?
Se dispone de normas, cdigos y prcticas recomendadas para
el diseo de SIS?

Temas de anlisis
Cuales son los riesgos dentro de la planta?

Identificacin de Peligros y Anlisis de Riesgo
Tcnicas y mtodos para el Anlisis y Evaluacin de Riesgos
Qu es un nivel de riesgo aceptable?
Tecnologas disponibles para el diseo de SIS: rels mecnicos,
rels estado slido, sistemas de estado slido, SEPs...
Se pueden desempear las funciones de seguridad de un SIS
en un SBCP (DCS)?
Cmo afectan las normas vigentes el diseo, instalacin y
mantenimiento de mi sistema de seguridad?

Temas de anlisis
Cmo se evala un SIS?

Cmo afectan la disponibilidad y la seguridad de mi SIS los
equipos de campo, los sistemas de votacin, los diagnsticos y
los intervalos de prueba de funcionamiento?
De donde se obtienen los datos de fallas?
Intervencin humana o SIS automtico?
Arquitectura de SIS
Tolerancia a falla. Votacin
Cobertura de diagnstico
Verificacin y Validacin
Instalacin, Operacin y Mantenimiento

Introduccin a la Seguridad Funcional

Sumario de Accidentes Relevantes
Vctimas
Incidente Fecha Heridos Prdidas, M$
Fatales
Nypro
06/1974 84 36 100
Flixborough, GB
PEMEX
11/1984 500 4500 50
Mexico City, MX
Union Carbide
12/1984 2500 200.000+ 1000
Bhopal, India
Shell
05/1988 7 40 500+
Norco, LA
Phillips
10/1989 23 130+ 750
Pasadena, TX
ARCO
07/1990 17 ---- 35
Channelview, TX

Incidente Fecha Vctimas Heridos Prdidas, M$

Fatales
NNPC
1988 650 1000+
Nigeria
AZF
09/2001 31 2500
Toulouse, Francia
Repsol YPF
08/2003 9 40
Puertollano, Espaa
Sonatrach
01/2004 23 74
Skikda, Argelia
Refinera BP
03/2005 15 170
Texas, USA
ONGC
07/2005 22 200
Mumbail, India

Por qu ocurren?

Conceptos generales
Grandes cambios en la industria en los ltimos 60 aos

Avances tecnolgicos
Nuevos materiales, procesos e industrias
Aumento en el tamao de las plantas
Optimizacin de los procesos
Mayor nmero de personas expuestas a riesgos
Accidentes Industriales Mayores
Eventos que implican graves riesgos o catstrofes, inmediatos o
diferidos, a personas, comunidades, medio ambiente o a la
produccin

Accidentes - Causas ms comunes
Defectos tcnicos
Errores en la operacin
Factor humano reaccin ante peligros
Pobres prcticas de mantenimiento
Seales de alarma no jerarquizadas
Falta de entrenamiento adecuado
Problemas de comunicacin
Malfuncionamiento de equipos crticos
Administracin de los permisos de trabajo
Fallas de materiales
Condiciones extremas de trabajo

Conceptos generales
Ocasionalmente, los accidentes mayores ocurren durante el
procesamiento o el almacenaje de los materiales o sustancias. Este
tipo de accidentes plantean peligros para la salud y la seguridad de
los trabajadores, el pblico y el ambiente. Adems, pueden originar
una responsabilidad econmica para las empresas y la comunidad. El
costo real total y las causas raz de este tipo de accidentes, a veces,
no llegan a conocerse con exactitud.
Nuevas industrias han comenzado a operar utilizando nuevos
procesos, utilizando sofisticados sistemas de control y seguridad, pero
creando al mismo tiempo nuevos tipos de peligros. Si no se toman las
debidas precauciones en el momento apropiado, esos peligros
pueden ser el inicio de desastres mayores resultantes en un gran
nmero de fatalidades y daos extensos a personas, la propiedad y al
ambiente.
Accidentes - Causas
Los accidentes pueden ser causados, generalmente, por fallos o

errores humanos, fallas tcnicas o fuerzas externas. Estas son el
resultado, en general de mltiples causas, principalmente fallas
humanas, que no son debidas slo a los operadores o
trabajadores inmediatamente afectados, sino tambin al personal
de mantenimiento, supervisores, diseadores de plantas y
diseadores y proveedores de equipos.
Las fallas tcnicas tienen, en general, su origen en errores

humanos tales como un pobre diseo, mantenimiento o uso
inapropiado. Por lo tanto, debe prestarse atencin a prevenir,
disminuir y/o eliminar los errores y fallos humanos en todos los
niveles.

Accidentes - Fallas debidas a causas comunes
Generalmente, un evento o condicin puede llevar a un cierto nmero de fallas

o faltas, llamadas fallas con causa comn. Un operador no entrenado
adecuadamente es muy posible que tome decisiones errneas. Si una empresa
no tiene un programa de capacitacin y entrenamiento apropiado puede
deberse a que la Gerencia no considera a la seguridad como su prioridad
nmero 1. Esta falencia es, en general, extensiva a cuestiones como
mantenimiento y seguridad de la instalacin.
La ms peligrosas de las fallas con causa comn son de naturaleza
organizacional: insuficiente o falta de compromiso con la seguridad, falta de
comunicacin entre los departamentos, capacitacin e informacin inadecuada
a los trabajadores. La falla con causa comn ms importante suele encontrarse
en la estructura gerencial, que puede conducir a un mayor dao. La gerencia
de la empresa debe estar totalmente comprometida con la seguridad de la
planta y ese compromiso debe ser dado a conocer a todos los empleados, de
todos los niveles.
Accidentes - Consecuencias
Consecuencias inmediatas
Pueden ser fatalidades, daos fsicos al personal, daos a las

instalaciones de proceso y edificios, contaminacin o daos al
ambiente. Los ms afectados, en primer trmino son los
trabajadores y las instalaciones pero, segn sea la magnitud del
accidente, este puede afectar seriamente a las comunidades
cercanas y al medio ambiente.
Consecuencias de largo plazo

Los efectos pueden llegar a involucrar tres niveles: la empresa, las
comunidades cercanas y el ambiente.

Accidentes Consecuencias a largo plazo
La empresa puede verse afectada seriamente por la reaccin adversa del

pblico, publicidad adversa en los medios, costos de reparacin o
reemplazo, prdidas de produccin, lucro cesante, demandas judiciales
por los distintos afectados.
Las personas que habitan las comunidades cercanas pueden verse
afectadas fsica y psicolgicamente. Las consecuencias a la salud por
exposicin a sustancias qumicas pueden ser inmediatas, o pueden
manifestarse en el largo plazo. Adems, pueden ocurrir daos a la
propiedad que debern ser resarcidos por la empresa. Adems, en
forma subsidiaria, hay que considerar las probables prdidas de valor de
las propiedades por la percepcin de vivir en un rea insegura.
El ambiente puede verse seriamente perjudicado por la emisin de
sustancias peligrosas que pueden afectar la tierra, los animales, los
cursos de agua y/o la vegetacin.

Porqu fallan los Sistemas de Control o de Seguridad?
Fuente: HSE UK - 1987

Accidentes Mayores - Lecciones
Percepcin del riesgo

Desarrollo de respuestas ante la emergencia
Protocolos de almacenamiento
Evaluacin del potencial de escalado
Inspecciones y mantenimiento de rutina de equipos crticos
Sistemas de Control confiables y adecuados
Ubicacin en planta de los edificios principales
Informacin al pblico
Comprensin de la importancia de la evaluacin de riesgos


Respuesta Gubernamental y Privada

Medidas Gubernamentales
SEVESO I CE 1985
SEVESO II CE 1999
SEVESO III CE 2003
OSHA - 1910.119 Process Safety Management Of Highly
Hazardous Chemicals USA 1992
OSHA - Process Safety Management - USA
OSHA - Management Of Change - USA
EPA Risk Management Program USA 1990
HSE Health & Safety Executive GB 1987

Normas y Prcticas Recomendadas
IEC 61508 Functional Safety of E/E/PE safety-related systems

IEC 61511 Functional Safety: Safety Instrumented Systems for
the Process Industry
ANSI/ISA 84.01 Application of Safety Instrumented Systems for
the Process Industries
Health and Safety Executive (HSE) PES Guidelines
DIN/VDE 0801 General Safety Principles for Vendors Derogada
DIN V 19250 "Fundamental Safety aspects for Measurements and
Control Equipment"
AIChE CCPS Guidelines for Safe Automation of Chemical
Processes

Conceptos bsicos de seguridad

Industrias de Procesos
Principales preocupaciones
Seguridad
Disponibilidad

Seguridad - Definicin
Es el estado en el que hay certeza de que no existe la posibilidad

de peligro o dao
Significa estar libre de riesgos inaceptables que puedan provocar

daos fsicos o a la salud de las personas, ya sea en forma
directa, o indirecta, como resultado de daos a la propiedad o al
ambiente

Seguridad Funcional
Es la parte de la seguridad general, relacionada con el EBC y del

sistema de control del EBC, que depende del correcto funcionamiento
de los sistemas E/E/EP relacionados con seguridad en respuesta a
sus entradas.
La seguridad funcional se alcanza cuando cada funcin de seguridad
especificada cumple con su cometido y el nivel de desempeo
requerido de cada funcin de seguridad es cumplido
satisfactoriamente.
Ni la seguridad y/o la seguridad funcional, pueden determinarse sin
considerar al sistema como un todo y al ambiente en el que debe
interactuar.

Niveles Independientes de Proteccin
Respuesta de la Comunidad a las Emergencias

Respuesta de Planta a las Emergencias
Proteccin Fsica Pasiva (Diques o Barreras de Contencin)
Proteccin Fsica Activa (Vlvulas de Alivio, Discos de Ruptura)
Sistema Instrumentado de Seguridad
Alarmas Criticas, Intervencin del Operador
Sistema Bsico de Control de Procesos
Diseo del
Proceso

Qu es un Sistema Instrumentado de Seguridad?
Es un sistema diseado para responder a condiciones en la

planta que pueden ser peligrosas por s mismas o, si no se toma
ninguna accin, pueden, eventualmente, alcanzar un cierto grado
de peligrosidad.
Adems genera las salidas correctas para mitigar

consecuencias peligrosas o para prevenir el peligro.
Fuente: Health and Safety Executive (HSE), 1987.

SIS - Ejemplos
Sistemas de parada de emergencia

Sistemas de fuego y gas
Control de turbinas
Supervisin y control de quemadores
Enclavamientos de seguridad y parada de emergencia en
mquinas
Sistemas de sealamiento de ferrocarriles

Funciones de Seguridad
Funcin de Seguridad:
Es una funcin a ser implementada en un Sistema E/E/PE,

otro dispositivo relacionado con seguridad o facilidad externa
para reduccin de riesgo, cuyo cometido es llevar a, o
mantener en, un estado seguro al EBC con respecto a un
evento peligroso especfico.

Funcin Instrumentada de Seguridad - SIF
Funcin Instrumentada de Seguridad: es una funcin a ser implementada en un

SIS, para llevar a, o mantener en, un estado seguro al EBC, con respecto a un
evento peligroso especfico.

Una funcin instrumentada de seguridad es

simplemente un lazo de control.
Un SIF contendr un cierto nmero de dispositivos y
todos esos dispositivos constituyen parte del SIS.
Un SIS comprende normalmente ms de un SIF.
Un SIF puede incluir muchos sensores y una nica
vlvula de seguridad, o un sensor y ms de una vlvula
de seguridad. Cualquier combinacin es posible.

Propiedades bsicas de las SIF:

Medicin
Lgica
Actuacin
Tiempo
Integridad de la Seguridad
Otras
Mantenimiento
Prueba de Funcionamiento
Condiciones ambientales

Criterio para la asignacin de las SIF

Qu hay que proteger?
Cmo se hace?
Qu variable hay que medir
Sobre qu hay que actuar?
Cundo hay que hacerlo?
Cul debe ser el tiempo de respuesta?
Bajo qu aplicacin?

Sistema Instrumentado de Seguridad - SIS
Mltiples SIF, con diferente SIL, dentro de un SIS

Integridad de la Seguridad
Probabilidad de que un sistema relacionado con seguridad

desempee satisfactoriamente la funcin de seguridad
requerida bajo todas las condiciones establecidas y dentro de
un perodo de tiempo especificado.

Nivel de Integridad de la Seguridad - SIL
Nivel discreto, uno de cuatro posibles, para especificar los

requerimientos de integridad de la seguridad de una funcin
de seguridad a ser asignado al Sistema instrumentado de
Seguridad, donde el nivel de integridad de la seguridad 4 es
el ms alto nivel y el nivel de integridad de la seguridad 1 es
el ms bajo.

Nivel de Integridad de la Seguridad - SIL
Es una propiedad de la funcin de seguridad completa.

Cada valor corresponde a un rango seleccionado de
probabilidad de fallas de la funcin de seguridad.
Es una medida cualitativa de la seguridad.
Es una unidad mtrica cuantitativa de la confiabilidad.
No hay regulaciones que asignen un valor SIL a un proceso
particular. No es una medida del riesgo.
La asignacin de SIL es una decisin que debe tomar la
empresa.
Cuanto ms alto el nivel SIL, ms estrictos son los
requerimientos tcnicos y administrativos.

Definiciones
Qu es disponibilidad?
Es la fraccin de tiempo en la que un sistema es operacional y en
un determinado instante de tiempo:
A = MTTF / (MTTF + MTTR).
No indica como es el desempeo del sistema durante ese perodo

de tiempo, slo expresa la probabilidad de que estar operando en
un determinado instante entre ciclos de reparacin.

Definiciones
Confiabilidad
Es la probabilidad de que un sistema, incluyendo todo el
hardware, software y firmware, desempear satisfactoriamente
la funcin para la que ha sido diseado, sin fallas, dentro de un
ambiente especificado y durante un periodo de tiempo
especificado.
R (t) = exp ( - (1/MTTF)t) R (T) = exp (-t)

Definiciones
Confiabilidad es una funcin del tiempo operativo.
Todas las funciones de confiabilidad comienzan con
confiabilidad uno y decrecen hasta confiabilidad cero. El
dispositivo debe cumplir su funcin durante el intervalo de
tiempo completo.
La expresin Confiabilidad = 0.76 para un tiempo de
100.000 hs tiene perfecto sentido.

Confiabilidad vs. Disponibilidad
Disponibilidad no es igual a confiabilidad
Disponibilidad brinda informacin acerca de cmo Ud. utiliza

su tiempo.
Confiabilidad brinda informacin acerca del intervalo libre de

fallas.
Ambas se expresan en valores porcentuales (%)

Nivel de Integridad SIL
Safety Integrity Level Probabilidad de Falla Reduccin de Riesgo

en Demanda
4 0.0001 0.00001 10000 - 100000
3 0.001 0.0001 1000 - 10000
2 0.01 0.001 100 - 1000
1 0.1 0.01 10 - 100

Estados de los Sistemas de Seguridad
Un Sistema de Seguridad puede estar en uno de los siguientes

estados:
Normal: no tiene fallas internas
Seguro: el sistema de seguridad ha fallado de una manera tal que la
funcin de seguridad ha reaccionado tal como fue diseada an ante
la ausencia de una demanda
Peligroso: el sistema de seguridad ha fallado de una manera tal que
la funcin de seguridad no reacciona tal como fue diseada ante una
demanda
Intermedio: la funcin de seguridad puede an reaccionar tal como
fue diseada a pesar de la presencia de una o ms fallas internas

Estado Sistema de Seguridad vs. Proceso
Sistema de Seguridad Proceso o EBC
Estado Normal Disponible
Estado Seguro Parado
Estado Peligroso Disponible pero no protegido
Estado Intermedio Disponible pero es necesario reparar

el sistema de seguridad

Fallas en los Sistemas de Seguridad
Una Falla es el fin de la habilidad de una unidad funcional

de desempear una funcin determinada o esperada.
Falla aleatoria
Falla sistemtica
Falla de Causa Comn
Falla de Modo Comn
Cualquiera de estas fallas pone al sistema de seguridad en

un estado especfico.

Una Falla aleatoria es una falla espontnea de un componente

del hardware en cualquier momento.
Es aquella que ocurre por desgaste del equipamiento debido al
uso.
Permanente existe hasta que se repara
Dinmica existe slo bajo determinadas circunstancias
Una Falla sistemtica es una falla oculta
Puede ser un error de diseo o implementacin.
Puede ser una falla de hardware o de software.
Tcnicas hardware o software
Administrativas especificaciones de diseo, manuales de
usuario, procedimientos

Una Falla de Causa Comn es una falla resultado de uno o

ms eventos que causan fallas de dos o ms canales
separados en un sistema de mltiples canales, conduciendo
a una falla de sistema.
Los eventos deben estar relacionados con eventos
ambientales
Falla de Modo Comn es la falla de uno o ms canales de la
misma manera, causando el mismo resultado errneo.

Falta
Condicin anormal que podra causar una reduccin en, o
la prdida de, la capacidad de una unidad funcional de
desempear la funcin requerida.
Error
Discrepancia entre el valor o condicin calculado,
observado o medido y el valor o condicin real, especificado
o tericamente correcto.

Normas, Leyes, Regulaciones

Normas y Prcticas Recomendadas
Evolucin histrica

IEC 61508
Functional safety of E/E/PE safety-related systems

Una norma internacional para todas las industrias en las que se utilizan
Sistemas Elctricos / Electrnicos / Electrnicos Programables en
aplicaciones relacionadas con seguridad
Siempre que sea posible, se debe tener una

separacin entre las funciones relacionadas con
seguridad y las que no lo estn.

IEC 61508
Es una publicacin de IEC sobre seguridad

Es una norma genrica de seguridad para ser utilizada cuando en
un sector especfico de la industria no haya normas de seguridad
Principalmente se ocupa de Sistemas E/E/PES relacionados con
seguridad cuya falla podra tener un impacto en la seguridad de las
personas, el ambiente y la propiedad.
En suma, proporciona una gua para el uso de Sistemas Elctricos /
Electrnicos / Electrnicos Programables en funciones de
seguridad

IEC 61508
En 1997 IEC 61508 introduce el Ciclo de Vida de Seguridad,

un concepto cuantitativo y cualitativo que incluye el concepto
de SIL (Nivel de Integridad de la Seguridad)
La norma es de aplicacin voluntaria
SIN EMBARGO!
Es una necesidad legal de la industria de cualquier sector
utilizar las mejores prcticas para ejecutar esta funcin
Y
El estndar IEC 61508 es considerada una buena prctica de
ingeniera y es mencionada dentro del mbito legal y jurdico
en ciertos pases como tal

IEC 61508 - Estructura de la norma

IEC 61508 Base para otras normas

IEC 61508 Tecnologas aceptadas E/E/PE
Rels elctricos y electro-mecnicos

Sistemas electrnicos de estado slido
Sistemas electrnicos programables, Controladores lgicos
programables, Sistemas basados en microprocesadores,
Sistemas de control distribuido, Sistemas Abiertos de Control y
otros dispositivos basados en microprocesadores, por ejemplo
sensores / transmisores / actuadores inteligentes
Genricamente, estos sistemas son conocidos en la norma
como Sistemas relacionados con la SEGURIDAD

IEC 61508 Sistemas Relacionados con Seguridad
Un sistema relacionado con la seguridad, comprende todo lo

necesario ( dispositivos, programas, programacin y elemento
humano) para llevar a cabo una o ms funciones de seguridad,
donde la falla de dicha funcin de seguridad puede dar lugar a un
incremento significativo del riesgo, afectando la seguridad de las
personas, el ambiente y la produccin.
Un sistema relacionado con seguridad puede comprender
equipamiento autnomo dedicado a desempear una funcin de
seguridad particular (por ejemplo un sistema de deteccin de
incendio) o puede estar integrado dentro de otro equipamiento o
sistema de planta (por ejemplo el control de velocidad de un motor de
una mquina herramienta)

IEC 61508 Sistemas Relacionados con Seguridad
Las consecuencias de una falla podran tener serias implicancias

econmicas, en estos casos la norma puede ser utilizada para
especificar sistemas E/E/EP relacionados con seguridad para proteger
el equipamiento, la planta, el producto y/o la produccin.

IEC 61508 - Ciclo de Vida de Seguridad

IEC 61508 Alcance de la Norma
Define las actividades del Ciclo de Vida

Desarrollo de los requerimientos generales de seguridad
Asignacin de los requerimientos de seguridad al sistema E/E/EP
relacionado con seguridad
Instalacin, comisionado y validacin del sistema E/E/EP
relacionado con seguridad
Operacin, mantenimiento, modernizacin, desinstalacin o
disposicin final del sistema E/E/EP relacionado con seguridad
Describe los requerimientos para la Administracin de la
seguridad funcional
Describe los requerimientos para la Evaluacin de la seguridad
funcional

IEC 61511
Functional Safety:
Safety Instrumented Systems for the Process Industry
Se ha desarrollado especficamente para

la implementacin de la IEC 61508 en el
sector de Procesos.
Alcance limitado a Usuarios y a
Integradores de Sistemas.
Usuarios e Integradores deben

considerar a IEC 61508 como el
requerimiento bsico para equipamiento

Estructura IEC 61511

Estructura IEC 61511

Estructura de IEC 61511 vs IEC 61508

Estado legal de IEC 61508 / IEC 61511
La adopcin de los estndares internacionales IEC por parte

de cualquier pas, sea o no miembro de IEC, es enteramente
voluntario.
Los Comits Nacionales de IEC estn encargados de aplicar

los estndares internacionales IEC en forma transparente, con
la mayor extensin posible dentro de las normas nacionales
y/o regionales existentes.
Cualquier divergencia entre las normas internacionales IEC y

las normas nacionales en vigencia deber ser indicado
explcitamente dentro del cuerpo de las normas nacionales.

Ciclo de vida de seguridad IEC 61511
Al igual que en IEC 61508, se utiliza como marco para

estructurar los requerimientos relativos a especificacin,
diseo, integracin, operacin, mantenimiento,
modificacin y desinstalacin de un Sistema de
Seguridad.
Cada fase tiene un conjunto definido de entradas y salidas

y, hacia el fin de cada fase, una verificacin debe ser
realizada para confirmar que las salidas obtenidas estn
de acuerdo con los requerimientos

Ciclo de Vida
IEC 61511

Beneficios de las Normas IEC
Ofrecen recomendaciones sobre como mejorar la seguridad

Proveen una gua de buenas prcticas de ingeniera
Conforman un modelo de gestin de la seguridad
Proveen un modelo de ciclo de vida de seguridad
Recomiendan como gestionar la planificacin, documentacin y
evaluacin de la seguridad funcional de la planta
No absuelven a los usuarios de su responsabilidad por la

seguridad de la planta, los trabajadores, las comunidades
vecinas y el medio ambiente.

ANSI/ISA 84.00.01 - 2004
Application of Safety Instrumented Systems for the Process Industries
El SIS debe estar separado del SBCP

Los sensores del SIS deben estar separados
de los sensores del SBCP.
Las reas de separacin son bien claras:
Procesador lgico
Sensores de campo
Elementos finales de control
Comunicaciones con otros sistemas
Primera edicin 1996

En su ltima edicin del ao 2004, adopta el
esquema de la norma IEC 61511

AIChE CCPS
Guidelines for Safe Automation of Chemical Processes (1993)
Normalmente, el procesador lgico del SIS

est separado de su componente similar en el SBCP.
Por lo tanto, los sensores y elementos finales de
control del SIS estn, generalmente, separados
de sus similares en el SBCP.
Se debe tener una separacin fsica, funcional

e identificacin entre los componentes del SBCP
y el SIS incluyendo sensores, actuadores,
procesadores, mdulos de E/S, chasis...

Leyes Locales
Ley 19587 Ley de Higiene y Seguridad en el Trabajo

Decreto 351/79 Reglamentacin Ley 19587
Ley 24557 Riesgos de Trabajo
Ley 13660 y Decreto 10877/60 Seguridad de Instalaciones de
Elaboracin, Transformacin y Almacenamiento de
Combustibles Slidos Minerales, Lquidos y Gaseosos
IEC en Argentina est representado por CEA Comit

Electrotcnico Argentino.
CEA depende de AEA y del IRAM.


Un sistema de seguridad es funcionalmente seguro si:

Las fallas aleatorias, sistemticas y de causa comn no
conducen a un malfuncionamiento del sistema de seguridad
y no resultan en:
Daos a la salud humana.

Incapacidad o fatalidades de personas.
Prdidas a la atmsfera de sustancias peligrosas.
Prdidas materiales: edificios y equipos.
Prdida de capital de trabajo.

Gestin de la Seguridad Funcional - GSF
GSF es parte de las medidas organizacionales que se toman para

lograr una efectiva implementacin de los requerimientos tcnicos y
slo apunta a lograr y mantener la seguridad funcional de los
sistemas relacionadas con seguridad.
Un buen sistema de gestin de la seguridad funcional bsicamente
reduce el riesgo ante fallas y garantiza una organizacin para
cumplir los objetivos de seguridad en una direccin estructurada.
Alcanzar la seguridad no es un tiro con suerte con GSF, sino que
es la nica va posible para tener un proyecto exitoso.

Tiene dos objetivos:

El primero es especificar las actividades tcnicas y de gestin
generales durante las distintas fases del ciclo de vida del
E/E/PES y del software que son necesarios para alcanzar el
nivel requerido de seguridad funcional.
El segundo es especificar las responsabilidades generales de

las personas, departamentos y organizaciones responsables de
cada fase del ciclo de vida de seguridad o por actividades
dentro de cada fase.
Gestin de Seguridad Funcional es la clave para garantizar la seguridad.

GSF incluye los siguientes requerimientos:

Identificacin de los individuos, departamentos u organizaciones que
sern responsables de cada tarea del ciclo de vida definido en la IEC
61508
Determinar que las personas que tendrn asignada una responsabilidad
son competentes
Define cuando tendrn lugar las actividades de verificacin, evaluacin,
auditoria y validacin
Requiere procedimientos para la evaluacin del desempeo de las SIF
despus que han sido instaladas
Requiere que, al menos, se haya realizado una evaluacin de seguridad
funcional antes de introducir materiales peligrosos en el proceso.

Quienes requieren GSF
Sistemas tpicos relacionados con Industrias tpicas que los
seguridad: implementan :
Sistemas Parada de Emergencia Petrleo y Gas
Sistemas de Fuego y Gas Qumica
Sistemas Supervisin de Petroqumica
Quemadores BMS Farmacutica
Salvaguardas de Turbinas y Automotriz
Compresores
Automacin
Sistemas de monitoreo de bombeo
Integradores
gasoductos y oleoductos
Desarrolladores de productos
Equipamiento para test de carrera
para esas industrias
parcial de vlvulas

IEC 61508 vs. IEC 61511
Para ambos estndares GSF tiene cinco objetivos:

Asegurar que los objetivos de seguridad funcional y de niveles de
integridad de la seguridad son alcanzados para todos los modos
de proceso relevantes.
Asegurar una instalacin y comisionado apropiado del SIS.
Asegurar la integridad de las funciones instrumentadas de
seguridad despus de la instalacin.
Mantener la integridad de la seguridad durante la operacin.
Gestionar los peligros del proceso durante las actividades de
mantenimiento del SIS.

Documentacin
La Seguridad debe ser documentada. La documentacin tiene

que contener suficiente informacin necesaria para desarrollar
efectivamente:
Cada fase del ciclo de vida de seguridad
La gestin de la seguridad funcional
Las actividades de verificacin y validacin
Las evaluaciones de seguridad funcional.

Documentacin
Fase Informacin
Todas las fases Plan de seguridad; Planes de verificacin y validacin
Anlisis de peligros y de riesgos Informes HAZOP, FMEA, FTA
Requerimientos generales de seguridad Especificacin con todas las funciones de seguridad y sus
propiedades de seguridad funcional
Planificacin general de la Validacin Plan
Planificacin general de la Instalacin y Plan

Operacin
Realizacin Diseo del sistema; diseo de hardware; diseo de
software; diagramas, manuales, distribucin en planta
Instalacin y Comisionado Informes
Validacin de la seguridad funcional Informes
Operacin y Mantenimiento Registros, informes de auditoria
Cambios y Modificaciones Solicitud de modificacin, informe de anlisis de impacto,

aprobacin

V & V, Evaluaciones, Auditorias
Actividades de aseguramiento y gestin de la seguridad

funcional:
Verificacin
Validacin
Evaluacin
Auditoria

Verificacin y Validacin
Verificacin: actividad para demostrar, al final de cada fase del ciclo de vida
de seguridad, por anlisis y/o pruebas, que ante entradas especficas las
salidas cumplen en todos los aspectos los objetivos y requerimientos fijados
para cada fase. Ejemplos:
Revisin de los documentos de salida de cada fase
Revisin de diseos
Pruebas a los productos diseados para asegurar que el desempeo es el
especificado
Validacin: actividad para demostrar que las funciones instrumentadas de

seguridad y los sistemas instrumentados de seguridad bajo consideracin
despus de la instalacin cumplen en todos los aspectos con la
especificacin de requerimientos de seguridad

Verificacin
Objetivo: demostrar mediante revisin, anlisis y/o pruebas que las

salidas requeridas, identificadas en el plan de verificacin, satisfacen los
requerimientos definidos para la fase apropiada del CVS
Requerimientos: el plan de verificacin define las actividades a llevar a
cabo:
Procedimientos, medidas y tcnicas
Cuando se llevan a cabo
Personas, departamentos u organizaciones responsables, incluyendo
nivel de independencia
Identificacin de los puntos s verificar
Identificacin de la informacin contra la que se lleva la verificacin
Como manejar las no conformidades
Herramientas de anlisis
Documentacin a generar como resultado

Validacin
Objetivo: validar a travs de inspeccin y pruebas que el SIS instalado y
comisionado y sus SIF asociadas cumplen con los requerimientos establecidos en
la especificacin de requerimientos de seguridad
Requerimientos: las actividades se definen en el plan de validacin:
Validacin de todos los modos relevantes de operacin el EBC, incluyendo:
Preparacin para su uso, incluyendo ajuste de variables
Arranque, automtico, manual, semi automtico, estado estacionario de operacin
Re arranque, parada, mantenimiento
Condiciones anormales (aquellas posibles)
Procedimientos, medidas y tcnicas a utilizar
Cuando se har la validacin
Personas, departamentos u organizaciones responsables, incluyendo nivel de
independencia
Identificacin de la informacin contra la que se lleva la validacin

Validacin Actividades adicionales
Identificacin del software de seguridad que necesita ser validado
Informacin de la estrategia tcnica de validacin
Tcnicas manuales y automticas
Tcnicas estticas y dinmicas
Tcnicas analticas y estadsticas
Ambiente en el que se desarrollar la validacin
Criterio pasa/falla para la validacin del software:
Seales de entrada requeridas del proceso y del operador, con secuencias y
valores
Seales de salida anticipadas con secuencias y valores
Otros criterios de aceptacin, por ejemplo: uso de memoria, tolerancias de tiempos
y valores.
Polticas y procedimientos para la evaluacin de los resultados de la validacin,
en particular las fallas.

Validacin - Documentacin
Versin del plan de validacin utilizado

SIF bajo prueba
Herramientas y equipos usados, con datos de calibracin
Resultados de cada prueba
Versin de la especificacin de prueba usada
Criterio de aceptacin de las pruebas
Versin del hardware y software bajo prueba
Cualquier discrepancia entre los resultados obtenidos y los esperados
En caso de ocurrir una discrepancia, anlisis realizado y decisiones
tomadas respecto de continuar con las pruebas o solicitar un cambio
Documentacin generada como resultado

Evaluacin de Seguridad Funcional
Es una investigacin, basada en evidencia, para juzgar la seguridad

funcional alcanzada por uno, o ms, sistemas E/E/PE relacionados
con seguridad, otros sistemas relacionados con seguridad que emplean
otras tecnologas o facilidades externas para la reduccin del riesgo.
Esta es una actividad crtica que asegura que la seguridad funcional se

ha alcanzado satisfactoriamente. Las personas que ejecutan la
evaluacin de la seguridad funcional deben ser competentes, deben
tener la adecuada independencia y deben considerar las actividades
que se llevan a cabo y los resultados obtenidos durante cada fase de
cada ciclo de vida y juzgan si se han cumplido los objetivos y
requerimientos de IEC 61508.

Nivel de Independencia
Nivel Mnimo de Nivel de Integridad de la Seguridad

Independencia
1 2 3 4
Persona Independiente HR HR NR NR
Departamento Independiente - HR HR NR
Organizacin Independiente - - HR HR
HR = Altamente recomendable NR = No recomendado

Auditorias
Son similares a las Evaluaciones

Se enfocan en la implementacin general del SIS respecto del ciclo de
vida, que permite evaluar la efectividad de la implementacin del SIS.
Es una evaluacin realizada en forma peridica
Aplica a las fases del ciclo de vida ms extensas, tal como operacin,
mantenimiento y reparacin
Los procedimientos de auditoria requieren:
Frecuencia de realizacin
Independencia entre las personas que desarrollan las tareas y las que
hacen la auditoria
Registro de resultados y seguimiento

Riesgos y Peligros

El Riesgo en la sociedad moderna
El riesgo no es un problema nuevo. Siempre ha existido.

La industrializacin ha reemplazado los peligros basados en la
naturaleza por nuevos basados en la tecnologa.
Todas las actividades humanas involucran riesgo. La sociedad
demanda que esos riesgos se controlen o minimicen.
Adems, demanda saber cules son los riesgos asociados con
las tecnologas peligrosas, los escenarios de caso peor, los
peligros de contaminacin.
Eliminar el riesgo es casi imposible. La reduccin del riesgo es
posible hasta un cierto lmite. A partir de all los costos asociados
pueden tornar inviable una inversin o actividad industrial.

Evaluaciones Necesarias
1- Cules son las fases peligrosas del Proceso?

- Arranque
- Parada
- Parada de Emergencia
- Cambio de turno
2- Cules son las peores consecuencias?
- Muerte
- Lesiones incapacitantes
- Daos al Medio Ambiente
- Daos a la propiedad
- Prdidas Econmicas: produccin, lucro cesante, equipos

3- Fallas en el Sistema de Seguridad debern producir

paradas de proceso?
- Sensores simples o redundantes?
- Rels o SEPs?
- Solenoides o vlvulas?
- Seguridad o disponibilidad?
4- El Sistema de Seguridad deber tener fallas no detectadas

(encubiertas)?
- Diagnsticos limitados -- Rels o SEPs
- SEPs redundantes -- Fallas encubiertas

5- Con qu frecuencia deber verificarse el Sistema de

Seguridad?
- 1, 2 ms veces al ao?
- En las paradas de mantenimiento?
- Continuamente -- Auto-verificado?
6- Con qu frecuencia ocurrira un accidente sin un sistema

de seguridad?
- Muchas veces por ao?
- Varias veces por ao?
- Pocas veces por ao?

7- Se trabaja con materias primas peligrosas?
8- Se fabrican productos intermedios peligrosos?
9- El personal que est presente en planta, ya sea propio,

contratado, proveedores o visitantes, est debidamente
entrenado?
10- Est instalada una cultura en seguridad apoyada y

promocionada por la gerencia?

El problema es lo que no se ve

Peligro - Definicin
Una condicin fsica o qumica que tiene el potencial de causar

dao a personas, propiedades o al ambiente (CCPS). Por dao
se entiende lesiones fsicas o perjuicios a la salud, ya sea en
forma directa o indirecta, como resultado de perjuicios a la
propiedad o al ambiente.
Potencial fuente de dao (IEC 61511). El trmino incluye peligros

para las personas que crecen en un corto perodo de tiempo (por
ejemplo, fuego o explosin y tambin aquellos que tienen efectos
de largo plazo sobre la salud de las personas (por ejemplo,
emisin de una sustancia txica).

Evento Peligroso - Definicin
Un evento es una situacin en general asociada con un

incidente, ya sea la causa raz o una causa contribuyente al
incidente.
Un evento peligroso se produce cuando el peligro potencial

ha ocurrido.

Qu es Riesgo?
Riesgo
Medida de potenciales prdidas econmicas,
dao a las personas, o dao al ambiente en
trminos de posibilidad de ocurrencia y de
magnitud de las consecuencias (prdidas,
perjuicios o daos)
Consecuencia: Una medida Probabilidad (likelihood): Una

de los efectos esperados de medida de la probabilidad esperada
un incidente determinado o frecuencia de ocurrencia de un
evento
Riesgo = Consecuencia x Frecuencia

Es posible eliminar todos los Riesgos?
Riesgo Intolerable
ALARP
Lleve la consecuencia
y/o la frecuencia de
potenciales incidentes Riesgo Tolerable
a un nivel de riesgo
tolerable
El concepto ALARP puede ser utilizado cuando se
adoptan objetivos de riesgo cualitativos o
cuantitativos Riesgo Aceptable

Criterio de aceptabilidad del riesgo

Riesgos tpicos del trabajo

Estadsticas en Argentina
Tabla NH 19: Cantidad y distribucin porcentual de incapacidades permanentes

por tipo de evento, e ndice de incidencia. Repblica Argentina, ao 2005.
Anuario publicado por SRT.
2003 2004 2005

Tipo de evento
Cantidad % Cantidad %. Cantidad %
Accidente de trabajo 14.849 68,7% 18.380 66,3% 24.136 72,0%
Accidente in itinere 3.342 15,5% 4.166 15,0% 4.920 14,7%
Enfermedad profesional 1.698 7,9% 2.687 9,7% 2.681 8,0%
Reingreso 1.736 8,0% 2.498 9,0% 1.796 5,4%
Total 21.625 100,0% 27.731 100,0% 33.533 100,0%
Trabajadores cubiertos 4.716.556 5.355.265 6.000.749
Incidencia x 1.000 trabajadores 4,6 5,2 5,6

Criterio de aceptabilidad del riesgo
El proceso de decisin sobre el nivel de riesgo aceptable es

complejo
Los objetivos son mltiples y, en ocasiones, contradictorios
Es necesario tomar en cuenta consideraciones humanitarias,
econmicas, de responsabilidad legal, de responsabilidad social
y de imagen pblica
Un riesgo catastrfico es menos aceptable socialmente, que la
suma de un conjunto de riesgos de pequea magnitud, an
cuando el riesgo total para las personas y para la propiedad
fuese idntico

Porqu hay que bajar el riesgo?
Mayor compromiso con el cuidado del ambiente

Proteccin de los empleados y la propiedad
Ms regulaciones gubernamentales y
requerimientos de la sociedad
Nuevas normas de seguridad

Litigios legales iniciados por grupos de inters
Imagen de la compaa

Reduccin de Riesgos
Integridad Mecnica
Riesgo equipos, caeras, etc.
Residual
Nivel de Riesgo
Aceptable Riesgo Inherente
al Proceso
SIS SV, RV Externos Alarma SBCP
PROCESO
RIESGO
Reduccin de Riesgos
Preguntas aplicables a cualquier industria de procesos
Cules son los peligros?

Qu puede salir mal y porqu?
Cules son las probabilidades?
Cules son las consecuencias?

Reduccin de Riesgos
Consecuencias de eventos peligrosos
Fuego
Explosin
Explosin de nube de vapor
Formacin de atmsfera txica

Reduccin de Riesgos
Diferentes terminologas para situaciones peligrosas:

Escenarios que determinan fenmenos peligrosos de tipo trmico
Incendio de charcos
Dardos o Chorros de fuego
Llamarada / Nube de fuego
BLEVE Bola de fuego
Escenarios que determinan fenmenos peligrosos de tipo mecnico
Explosin de nube de vapor (VCE). Confinadas o no confinadas
Ruptura de alta presin
Explosin BLEVE
BLEVE: Boiling Liquid Expanding Vapor Explosion

Medida del Riesgo
Riesgo individual
Es la probabilidad de ocurrencia de una consecuencia no
deseada debida a un accidente a un ser humano individual
que est en un determinado punto (X,Y)
Riesgo Social
Expresa la relacin entre la frecuencia esperada y el
nmero de personas que sufren un determinado tipo de
dao debido a la ocurrencia de un peligro especfico

Riesgo Pblico o Social Curva FN para Riesgo Social
F
r
e
103
c
u
e F
n Inaceptable
c 105
i
Reduccin Lneas FN
a
Deseada
E
Aceptable
s
p
e
r
102 103
a
d Nmero N de Probables fatalidades
a
Cuantificacin del nivel del Riesgo
Para poder decidir si un riesgo es o no aceptable, hay que estimar,

de alguna manera su magnitud.
Esto implica un anlisis previo
Hay que desarrollar una estimacin del nivel de peligro potencial
de una actividad.
Estos peligros estarn referidos tanto a personas como a bienes
materiales, en trminos de magnitud del dao y de la probabilidad
de ocurrencia
Es una herramienta necesaria para la toma de decisiones, ya sea
jerarquizando las estrategias de reduccin de riesgo o comparando
con los niveles de riesgo fijados como objetivo para la actividad en
estudio

Evaluacin de Riesgos Tcnicas y Mtodos
Los mtodos de evaluacin de riesgos se pueden dividir en:
Cualitativos: Evaluacin realizada por un experto o panel de

expertos que juzgan la frecuencia y las consecuencias de los
riesgos. Usualmente el resultado se presenta en formato matriz.
Cuantitativos: Evaluacin realizada utilizando datos de

frecuencia de fallas (humanas y de equipos) para calcular la
probabilidad de falla ante una demanda y. en algunos casos,
modelos de consecuencia para evaluar impacto potencial.

Objetivos de un Anlisis de Riesgo Cualitativo
Identificacin de aquellas desviaciones del proceso que

pueden conducir a un evento peligroso.
Determinacin de la severidad de un evento peligroso.
El anlisis debe hacerse asumiendo que no est presente
ninguna capa de proteccin, incluyendo dispositivos de
mitigacin pasivos o activos.
Analiza la probabilidad de ocurrencia de un evento peligroso.
Hacer recomendaciones concernientes a los mtodos de
reduccin de riesgo necesarios.

Anlisis de Riesgo Cualitativo
Todos los mtodos requieren de un equipo de

personal especializado en distintas reas para
identificar los peligros asociados al proceso.
Los efectos de las desviaciones del proceso son
examinadas para determinar las reas de riesgo.
Los resultados se basan en la aplicacin de buenas
prcticas de ingeniera.

Anlisis de Riesgo Cualitativo
El equipo debe aplicar tcnicas de mitigacin en el siguiente orden:

Cambios en el diseo mecnico del proceso, incluyendo la
distribucin de los equipos o de la planta.
Integridad mecnica del equipamiento
Reemplazo de sustancias utilizadas por el proceso
Aplicacin de SBCP
Procedimientos de Operacin, Mantenimiento y Entrenamiento
Aplicacin de SIS
Otros sistemas relacionados con seguridad que emplean otras
tecnologas

Niveles Independientes
de Proteccin
Qu son?
Usualmente se
presentan como las
capas de una cebolla.
Cada capa es
independiente en
trminos de operacin
La falla de una capa no
afecta a las otras capas.

Restricciones
Suficientemente independientes de manera tal que
la falla en una de las IPL no afecta adversamente la
probabilidad de falla de las otras IPL.
Diseadas para prevenir eventos peligrosos, o
mitigar las consecuencias de un evento peligroso.
Diseadas para desempear su funcin de
seguridad durante condiciones de diseo normales
y anormales.
Desempeo auditable.

IPLs proveen
Prevencin (activa baja probabilidad)
Alarmas con respuesta del operador
Sistema Instrumentado de Seguridad
Mitigacin (activa baja probabilidad/consecuencia)
Vlvula de alivio de presin
Proteccin (pasiva baja consecuencia)
Diques
Diseo mecnico
Barricadas

Tcnicas de Anlisis de Riesgo

Tcnicas de Anlisis de Riesgo
Anlisis Causa - Consecuencia Anlisis de Peligros y

Operabilidad (HAZOP)
Lista de Verificacin
Confiabilidad Humana
Anlisis rbol de Eventos
Anlisis de Peligros
Anlisis Modos de Falla & Efectos
Preliminares (PHA)
(FMEA)
Identificacin de Peligros
Anlisis Modos de Falla, Efectos &
(Hazid)
Criticidad (FMECA)
Anlisis Qu pasa s?
Anlisis rbol de Fallas (FTA)
Anlisis Qu pasa si?/Lista
LOPA
de Verificacin

HAZOP
HAZard: Peligro Riesgo

OPerability: Operabilidad
Anlisis de peligros y de operabilidad (HAZard and OPerability studies -

HAZOP)
Las instalaciones son diseadas para adecuarse a las condiciones
normales de trabajo, pero deben ser capaces de soportar alteraciones
previsibles, aunque sean ocasionales, sin generar daos a personas y
bienes.
Mtodo diseado por la ICl en la dcada de los sesenta para su
aplicacin en el diseo de plantas para la fabricacin de pesticidas, con
la finalidad de detectar las situaciones de inseguridad.

Caractersticas de los Sistemas

Sistemas de Control
Caracterstica DCS
Operacin Normal Dinmico. Activo continuamente
Utilizacin Continua
Operacin Humana Interaccin continua
Seales Entrada/Salida Principalmente analgicas
En Servicio/Fuera Servicio Frecuente transf. auto-manual
Test de Fallas En general auto reveladas
Tiempo Medio para Reparar Menos crtico
Interfaz con Operador Dominada por Operadores

Sistemas de Seguridad
Caracterstica SIS
Operacin Normal Pasivo, hasta una demanda
Utilizacin Intermitente
Operacin Humana Interaccin infrecuente
Seales Entrada/Salida Principalmente discretas
En Servicio/Fuera Servicio Nunca fuera de lnea
Test de Fallas Para revelar fallas ocultas
Tiempo Medio para Reparar Crtico para alta disponibilidad
Interfaz con Operador Slo informes de estado

Separacin de SBCP y SIS
En instalaciones de SIS antiguas, la separacin fue

asegurada debido a que los enclavamientos de seguridad
eran tpicamente sistemas cableados (harwired) con rels
electromecnicos montados en un gabinete cerrado.
Dos reas en particular requieren atencin especial en el
diseo de un SIS: la interfaz Hombre/Mquina y el Programa
de Aplicacin.

Puedo realizar las funciones de mi SIS en mi SBCP?
Los expertos en el campo de los sistemas de seguridad no

recomiendan realizar las funciones de seguridad de los SIS
en los Sistemas Bsicos de Control De Procesos (SBCP)
Las normas IEC 61508 / 61511 y ANSI/ISA 84.00.01- 2004

lo recomiendan fuertemente, excepto para niveles bajos de
integridad (Nivel 1).
La separacin de ambas funciones es altamente

recomendable.

SIS vs. SBCP - Porqu deben Separarse
Se reducen las chances de un error humano.

Hace que los SIS sean distintos, permitiendo la
implementacin de precauciones especiales consistentes
con las demandas del SIS.
Garantiza la seguridad y la integridad, permitiendo al SIS

alcanzar un nivel de seguridad e integridad igual o mejor que
el de los sistemas a rel.
Asegura que no se realicen cambios no autorizados.

Elimina las fallas de modo comn.

SIS vs. SBCP - Porqu deben Separarse (cont.)
Acceso restringido.
Se asegura que los cambios de software en lnea al Sistema
de Control SBPC no alteran el programa del SIS.
Asegura que datos corruptos en el SBPC no corrompern

datos en el SIS.
Permite el uso de software para seguridad, mientras que

desacopla al SIS de los cambios inducidos en la
programacin de control de procesos.
Facilita el test y el mantenimiento de un equipo
independiente.

SIS vs. SBCP - Porqu deben Separarse (cont.)
Esquema tradicional

SIS vs. SBCP Tendencia actual
Funciones de control de procesos y de seguridad integradas en un sistema

SIS vs. SBCP Tendencia actual
Beneficios de la integracin
Mapeo de datos comn
Incremento en la seguridad
Herramientas de ingeniera similares
Diferencia visual entre el SBCP y el SIS en la Estacin de
Operacin
Acceso protegido adecuadamente
Reduccin significativa en los esfuerzos de integracin
Reduccin en los costos de hardware, configuracin,
entrenamiento e inventario de partes.
Integrado con, pero separado del, sistema de control

Consideraciones sobre votacin

Votacin
Se define como el nmero de caminos (M) requeridos del

nmero total de caminos redundantes (N) para desempear
la funcin de seguridad.
En general se los expresa como:
MooN
XooY
Por ejemplo 1oo2, 2oo3, 2oo4

Consideraciones sobre Votacin





Tipo de Fallas en Sistemas de Seguridad

Definiciones
Falla Peligrosa:
Falla que tiene el potencial de poner un sistema relacionado
con seguridad en un estado peligroso o en un estado en el que
falle en el cumplimiento de la funcin de diseo.
Falla Segura:
Falla que no tiene el potencial de poner un sistema relacionado
con seguridad en un estado peligroso o en el que falle en el
cumplimiento de la funcin de diseo.

Falla Peligrosa
Fallas peligrosas son aquellas en las que el sistema de seguridad

falla de manera tal que el proceso controlado no puede ser
parado.
Fallas encubiertas: Fallas que no se revelan y permanecen
escondidas hasta que son descubiertas en un test y son
reparadas, por ej.: el flotante de un control de nivel que est
pegado, el acoplamiento de una vlvula solenoide roto o
doblado. Probabilidad de falla peligrosa sobre demanda (PFD(d))
PFD.

Falla Segura
A una parada causada por una falla en el sistema de

seguridad y no iniciada por el proceso o una demanda, se la
llama falla segura, o disparo falso.
An cuando las fallas seguras no afectan la integridad de la
seguridad, no son deseadas. Producen paradas no
programadas.
Fallas descubiertas: Fallas que se auto revelan, es decir
que causan alarma, un evento falso, se las llama fail-safe.
Probabilidad de falla segura sobre demanda (PFD (s)) PFS.

SEP - Tipos de Fallas
Fuente: ISA-TR84.00.02-2002 - Part 1

Deteccin de Fallas
Las fallas pueden ser detectadas de tres formas:
A travs de la operacin normal

A travs de pruebas peridicas de funcionamiento
A travs de diagnsticos embebidos en los
subsistemas.

A travs de la operacin normal
El comportamiento del proceso revela la existencia de una

falla del equipamiento, por ejemplo:
Parada de una parte del proceso como consecuencia de una
falla del sistema de seguridad.
Este tipo de deteccin no es aceptable, ya que lo que se
desea es tener una operacin continua del proceso, sin
paradas no programadas.

A travs de pruebas peridicas de funcionamiento
La prueba peridica de funcionamiento es una prueba manual

de funcionamiento del sistema de seguridad, que se realiza
segn una determinada programacin.
Se inicia por intervencin de personal autorizado

No es una rutina embebida en los sistemas o subsistemas.
Ejemplo, prueba parcial de funcionamiento de vlvulas

A travs de diagnsticos
Un Test de diagnstico es una prueba que se realiza, en

general, en forma automtica, sin intervencin de persona
alguna.
Usualmente son rutinas embebidas en el hardware o software
del sistema de seguridad

Cobertura de diagnstico
Se define como la relacin entre la tasa de fallas detectadas

por los diagnsticos embebidos y la tasa de fallas total del
componente o subsistema. La cobertura de diagnstico no
incluye las fallas detectadas en las pruebas manuales.
Conociendo la cobertura de diagnstico, se pueden calcular las

tasas de fallas detectadas y no detectadas.
DC = detectadas / total

Fraccin de Falla Segura - SFF
Definicin
Tasa de falla Segura + Tasa de Falla Peligrosa Detectada
SFF = -------------------------------------------------------------------------------------
Tasa de Falla Total

SEP - Datos de Ocurrencia de Fallas
En general los datos de ocurrencia de fallas indican la

velocidad de ocurrencia de fallas encubiertas y descubiertas.
Por ejemplo, un PLC con CPU doble tiene una velocidad de
ocurrencia de fallas de una por ao y una velocidad de falla
encubierta de una cada 5 aos.
Los mejores datos de velocidad de ocurrencia de fallas vienen
de los datos de su propia planta, por lo que es aconsejable
llevar un registro de mantenimiento confiable.
Sea cuidadoso con los datos suministrados por los fabricantes.

Fuentes a consultar para la obtencin
de datos de ocurrencia de fallas
OREDA - Offshore Reliability Data Base DNV

CCPS - Process Equipment Reliability Data
SINTEF - Reliability Data for Control & Safety Systems
IEEE STD - 500 1984 para Usinas Nucleares
SRD - Safety and Reliability Directorate - UK
NPRD - 95 Nonelectronic Parts Reliability Data
FMD 97 Failure Mode Mechanism Distributions

Sistemas Instrumentados de Seguridad

SIS - Requerimientos
El sistema de seguridad o de control crtico debe

funcionar en respuesta a una demanda, cada vez
que sea necesario, tal como fue diseado y no debe
generar entradas y salidas errneas.
Defecto Cero

Cul es la funcin del SIS?
Boom!
Accin Parada Emergencia Nivel Seguridad Mecnica
Nivel Disparo
Controlado por SIS
Operador toma accin Alarma Alto Nivel
Alto Nivel
Valor de Proceso Comportamiento Normal
Bajo Nivel
Tiempo

Planificacin del Sistema de Seguridad
Los Usuario e Integradores de Sistemas de Seguridad deben

planificar las actividades que se llevarn a cabo como parte
del Ciclo de Vida de Seguridad.
Deben elaborar:
Plan de Seguridad
Plan de Operacin y Mantenimiento
Plan de Instalacin y Comisionado
Plan de Validacin

Plan de Seguridad
En el Plan de Seguridad se establece cmo se alcanzar

la seguridad funcional.
Contenido tpico:
Ciclo de Vida con sus distintas fases

Personas, departamentos y organizaciones involucradas
incluyendo sus responsabilidades
Herramientas, tcnicas, etc. que se utilizarn
Medidas para controlar y evitar fallas
Procedimientos para Modificaciones

Plan de Operacin y Mantenimiento
El objetivo de los requerimientos de esta sub-clusula es el

desarrollo de un plan para la Operacin y Mantenimiento del
sistema E/E/PE relacionado con seguridad, para asegurar
que la seguridad funcional requerida es mantenida durante
la operacin y el mantenimiento.

Plan de Validacin
El objetivo de los requerimientos de esta sub-clusula es el

desarrollo de un plan para facilitar la validacin general de la
seguridad del sistema E/E/PE relacionado con seguridad.

Plan de Instalacin y Comisionado
El primer objetivo de los requerimientos de esta sub-

clusula es el desarrollo de un plan para la instalacin del
sistema E/E/PE relacionado con seguridad de una manera
controlada, para asegurar que la seguridad funcional
requerida es alcanzada.
El segundo objetivo de los requerimientos de esta sub-
clusula es el desarrollo de un plan para el comisionado
del sistema E/E/PE relacionado con seguridad de una
manera controlada, para asegurar que la seguridad
funcional requerida es alcanzada.

Planificacin del Sistema de Seguridad
Requerimientos
En este punto el Usuario ya ha decidido:
Cuales son las funciones de seguridad.

Cuales son funciones instrumentadas de seguridad
Tecnologa que se va a implementar
Necesita obtener informacin y documentacin de sus

proveedores para planificar las distintas actividades.

Especificacin de Requerimientos de Seguridad

SRS Qu es?
Las Especificaciones de Diseo de los Sistemas Instrumentados

de Seguridad incluyen:
Requerimientos de entrada
Requerimientos de Integridad de la Seguridad
Requerimientos Funcionales de Seguridad

SRS Qu es?
La Especificacin de Requerimientos de Seguridad (SRS) es una

documentacin requerida por las normas IEC 61511, IEC 61508
y ANSI/ISA S84.00.01-2004
Contiene tanto los requerimientos funcionales de seguridad como

los requerimientos de integridad de la seguridad. La SRS sirve de
fundacin para el diseo del sistema instrumentado de seguridad
(SIS).
Todos los pasos del ciclo de vida seguridad que se tomen deben
ser siempre verificados con los datos de la SRS.
La SRS tpicamente incluye lo siguiente:

SRS Qu incluye?
Identificacin de los eventos peligrosos asociados con la

unidad de procesos en estudio
Identificacin de las causas del evento peligrosos
Determinacin de la frecuencia de ocurrencia de los eventos
peligrosos
Evaluacin de las consecuencias del evento, en trminos de
impactos en la seguridad, el ambiente y econmico.
Evaluacin de las capas de proteccin disponibles para mitigar
los efectos del incidente
Determinacin de las acciones de mitigacin
Seleccin del nivel de integridad de seguridad para cada SIF y
SIS requerido

SRS Requerimientos Funcionales de Seguridad - Detalles
Estado seguro del proceso

Rango y lmites operativos de las entradas normales de
proceso
Entradas de proceso y puntos de disparo
Salidas a proceso y acciones
Relaciones funcionales. Modos de Falla
Requerimientos para parada manual y reset
Requerimientos de Mantenimiento / Bypass
Requerimientos de tiempo de respuesta
Requerimientos de interfaz Humano - Mquina

SRS Otros Documentos Funcionales
Consideraciones de fallas de causa comn

Requerimientos para la puesta en marcha
MTBF del equipamiento utilizado para el clculo de
confiabilidad
Requerimientos de equipamiento regulatorio que tenga
impacto en el SIS

SRS Para qu?
Canaliza y combina informacin crtica en estructuras de

datos administrables.
Permite una organizacin y diseo de procesos eficiente
reduciendo confusin y reingeniera.
Provee un documento vivo de las razones que existen
detrs del diseo del sistema.

SRS Cmo se Desarrolla?
Recursos
Equipo de profesionales y tcnicos con experiencia en

Ingeniera de Detalle, Equipos de Proceso y/o Operacin
de Planta
Modelado del Proceso
Informacin de otros procesos similares
Polticas y procedimientos corporativos para evaluacin
de riesgos
Normas y Recomendaciones de Diseo corporativas
Grupo de Instrumentos lidera el Equipo

Cuando se debe iniciar un SRS?
Cuando se disean nuevos sistemas o nuevas plantas
Cuando se modifican plantas, equipos o sistemas

existentes

Evolucin

Tecnologas Disponibles
Sistemas cableados basados en rels
Sistemas cableados de estado slido
Sistemas electrnicos programables

Sistemas basados en rels
Primer sistema de proteccin industrial

An es considerado uno de los sistemas ms
confiables debido a su alto 98% - predecible
modo de falla.
En algunas industrias y aplicaciones un 2% de
modo de falla no predecible es un valor totalmente
inaceptable.
Inmunidad a la interferencia
Electromagntica.

Sistemas basados en rels - Desventajas
No son necesariamente seguros ante falla porque:

- el contacto del rel puede quedar pegado en una posicin
cerrado por suciedad o por induccin.
- se puede quebrar el resorte
- los contactos se pueden quemar
- los brazos del contacto se pueden quebrar
- ocupan demasiado espacio en los gabinetes (si se
agregan temporizadores mayor an es el espacio requerido)
Requieren de un ambiente controlado para mantener la

integridad de los contactos, a menos que se utilicen rels
hermticamente sellados.

Sistemas basados en rels - Desventajas
Sistemas complejos, difciles de diagnosticar y mantener.

Documentacin puede ser compleja de leer y de modificar.
Redundancia difcil de implementar.
Slo pueden implementarse entradas y salidas digitales.
No hay comunicacin.
No hay diagnsticos para detectar fallas internas.
Las modificaciones son difciles de implementar.
Al estar energizados en forma continua se reduce el MTBF.

Sistemas cableados de Estado Slido
Se utilizan principalmente para la seguridad de maquinaria

(deben energizarse para disparar)
Se han implementado en la industria de refino de petrleo en

los cracking catalticos (desenergizar para disparar, seguros
ante falla)
Aplicaciones en sistemas de supervisin y control de

quemadores de calderas
Cada mdulo tiene una funcin lgica especfica

Sistemas cableados de Estado Slido - Comentarios
Sus principales componentes (transistores, diodos, triacs)

fallan de manera impredecible, 50% y 50%
No son flexibles si es necesario introducir cambios.

Tienen la posibilidad de implementar diagnsticos limitados a
travs de LEDs.
Su modificacin puede ser compleja si no incluyen una placa

base cableada.
Facilidad para la bsqueda de falla y test.

No son flexibles si es necesario introducir cambios.
No requieren programacin

Controladores Lgicos Programables PLCs
Texas Instruments inventa el circuito integrado (CI) en 1958

El CI abre el camino para el desarrollo de Microcomputadores
Programables y Microprocesadores que constituyen la unidad
central de procesamiento.
A travs de la codificacin con un software se reemplazan a los

sistemas basados en rels y a los de estado slido.
Las funciones lgicas y secuenciales se ejecutan en la CPU

Ampliamente aceptados en la industria automotriz

Controladores Lgicos Programables PLCs
Es un Sistema relacionado con seguridad?

Modo de falla similar al de los sistemas de
estado slido: desconocido.
Se requiere redundancia para ser seguro
ante falla.
Hay dudas respecto a su comportamiento
ante fallas seguras y disparos espurios.
Baja disponibilidad en configuracin simple

Esquema PLC Redundante

Ventajas de PLC Redundantes
Son aceptable para aplicaciones energizar para disparar (ETT)

Disponibilidad de entradas y salidas digitales y analgicas.
Los puntos de disparo son fciles de ajustar
Mejores diagnsticos que en los sistemas de estado slido
Comunicaciones con protocolos estandarizados
Diagnsticos limitados.

PLC - Desventajas
Los disparos falsos o espurios son comunes en las

aplicaciones desenergizar para disparar.
En caso de falla: cul es el procesador correcto, A o B?

Si se produce una comparacin errnea, el sistema debe estar
programado para parar.
Errores en las comparaciones resultan en muchos disparos

falsos.
Los cambios a los programas en operacin son muy riesgosos.

Las reparaciones en operacin son muy riesgosas.

Sistemas EP Tolerantes a Fallas
Es un sistema capaz de continuar en operacin an cuando una

unidad interna haya fallado.
Esta capacidad se alcanza replicando una, dos, tres, n veces,
los componentes internos del sistema.
No existen puntos nicos de falla.
Aplicaciones tpicas:
Parada de emergencia de Hornos
Supervisin y control de quemadores
Sistemas protectivos de maquinarias
Reactores exotrmicos

Esquema SEP Triple Redundante

SEP - Diseo 1oo2D
Input/Output Input/Output
Module CPU Module Module
+
Input Output
Circuit CPU Circuit
Diagnostic Diagnostic Diagnostic

Circuit Circuit Circuit
Final Element
Sensor
Input/Output Input/Output
Module CPU Module Module
Input Circuit Output

CPU
Circuit
Diagnostic Diagnostic Diagnostic

Circuit Circuit Circuit

SEP - Desempeo de un Sistema Dual
Probabilidad de Falla
Segura Peligrosa
A
A (1oo1) 0.04 0.02
B
B 1oo2 0.08 0.0004
(muy seguro, pero ms
disparos falsos que el simple)
A
A
2oo2 0.0016 0.04
(pocos disparos falsos,
B
B
pero menos seguro que el simple)

SEP - Desempeo de un Sistema Triple
Probabilidad de Falla
Segura Peligrosa
A
A
Majority Vote (1oo1) 0.04 0.02
(1oo2) 0.08 0.0004
B
B (2oo2) 0.0016 0.04
1oo2D
C
C
2oo3 0.0048 0.0012

Tcnicas de seleccin de SIL

Cmo se selecciona el SIL a partir de un Anlisis Cualitativo?
No hay una respuesta simple para esta pregunta.
Algunas compaas dicen Un sistema de seguridad es un sistema

de seguridad por lo que el SIL debe ser SIL 3.
Un mtodo es asignar correlaciones entre SIL y las matrices de

riesgo corporativas
Las Normas IEC 61508 e IEC 61511 presentan distintos mtodos

que pueden aplicarse para la seleccin del SIL.

Asignacin de SIL
Rol de los SIS para alcanzar la reduccin de riesgo necesaria
Consecuencias de
eventos peligrosos
Riesgo Capas de Otras Riesgo

del proteccin SIS capas de tolerable
proceso no SIS proteccin objetivo
Frecuencia de eventos
peligrosos
Reduccin de riesgo necesaria
La integridad de seguridad de capas de proteccin para prevencin /

mitigacin no SIS y de SIS proveen la reduccin de riesgo necesarias

IEC 61508 - Mtodos para la Asignacin de SIL
Cuantitativo
Cualitativo Mtodo ALARP
Cualitativo - Grficos de Riesgo

IEC 61511 - Mtodos para la Asignacin de SIL
Semicuantitativo HazOp + Arbol de Falla
Cualitativo - Matrices de Riesgo
Semicualitativo - Grficos de Riesgo calibrado
Cualitativo - Grfico de Riesgo
Cuantitativo - LOPA

Matriz de Riesgo de varios niveles
Se puede establecer una matriz de riesgo de acuerdo a las

guas y normas corporativas. Mtodo cualitativo.
La matriz de riesgo se basa en distintos niveles de:

Severidad del Evento
Probabilidad de ocurrencia del Evento
Capas mltiples de proteccin
La matriz de riesgo debe incluir asignaciones de nivel de
integridad de la seguridad de acuerdo a lo establecido en
IEC 61511

Matriz de Riesgo - Severidad del Impacto de un Evento
Estimacin de la Impacto
Severidad
Daos al equipamiento severos. Parada del proceso

Extensa por largo tiempo. Consecuencias catastrficas para el
personal y el ambiente
Daos al equipamiento. Parada del proceso por corto
Seria tiempo. Daos severos al personal y al ambiente
Daos menores al equipamiento. No hay parada del

Menor proceso. Daos leves al personal y al ambiente

Matriz de Riesgo - Probabilidad de un Evento
Tipo de Evento Probabilidad

Eventos tales como mltiples fallas de diversos Baja
instrumentos y vlvulas, mltiples errores humanos en un
ambiente libre de estrs, o fallas espontneas de
recipientes de proceso
Eventos tales como fallas en vlvulas y en instrumentos, Media
o escape mayor en reas de carga / descarga
Eventos tales como prdidas en procesos, fallas en Alta

vlvulas e instrumentos, o errores humanos que resulten
en una pequea fuga de materiales peligrosos

Matriz de un solo Nivel

Matriz de Varios Niveles

IEC 61511- Grfico de Riesgo Calibrado
IEC 61511 describe el mtodo Grfico de Riesgo Calibrado es

un mtodo semicualitativo para la determinacin del SIL de una
Funcin Instrumentada de Seguridad a partir del conocimiento
de los factores de riesgo asociados con el Proceso, el Equipo
Bajo Control y el Sistema de Control asociado a ste.

Los parmetros a evaluar son:
Consecuencia C
Ocupacin F
Probabilidad de falla en Evitar el Evento Peligroso P
Tasa de Demanda W

W W W
3 2 1
X
C A 1
a --- ---
X
Starting point
P
2
1 a ---
A
for risk reduction
C F PB X
estimation B A 3
F
B P
2 1 a
A
PB
C F X
C
F
A
4
3 2 1
B PA
P
B X
C 5
F
Generalized arrangement D A
P
4 3 2
(in practical implementations F A
B
the arrangement is specific to X
P 6
B
the applications to be covered
by the risk graph) b 4 3
C = Consequence risk parameter --- = No safety requirements
F = Frequency and exposure time risk parameter a = No special safety requirements
P = Possibility of failing to avoid hazard risk parameter b = A single E/E/PES is not sufficient
W = Probability of the unwanted occurrence 1 , 2 , 3 , 4 = Safety integrity level

IEC 61511- Grfico de Riesgo
IEC 61511 describe el mtodo Grfico de Riesgo. Es un

mtodo cualitativo para la determinacin del SIL de una Funcin
Instrumentada de Seguridad a partir del conocimiento de los
factores de riesgo asociados con el Proceso y el Sistema de
Control de procesos.
Este mtodo se basa en el mtodo utilizado en la norma DIN V
19520, 1994 Control Technology: Fundamental safety aspects
to be considered for measurement and control equipment

Los parmetros a evaluar son:
Consecuencia - C
Frecuencia de la presencia en la zona peligrosa

multiplicada por el tiempo de exposicin - F
Posibilidad de evitar las consecuencias del evento

peligroso - P
Probabilidad de ocurrencia no deseada - W

W3 W2 W1
C1
1 - -
P1
F1 2 1 -
P2
Punto de C2 3 2 1
arranque
para la
P1
F2 4 3 2
estimacin P2
de 5 4 3
Reduccin F1
de Riesgo C3 6 5 4
F2
7 6 5
C4 8 7 6
C= Consecuencia (1,2,3,4,5,6,7 y 8) representan la reduccin

F= Frecuencia y Tiempo Exposicin de riesgo mnima. El vnculo entre la
P= Posibilidad Evitar Evento Peligroso
W= Probabilidad Ocurrencia No Deseada reduccin de riesgo mnima y el SIL se
muestran en la siguiente tabla

IEC 61511- Grfico de Riesgo - Nivel de Riesgo vs. SIL

LOPA - Mtodo Cuantitativo
Este mtodo se inicia a partir de los datos obtenidos en el

estudio HAZOP y detalla cada uno de los peligros identificados
documentando la causa inicial y las capas de proteccin que
previenen o mitigan el peligro.
La reduccin de riesgo total puede ser determinada y se
analiza la necesidad, o no, de una mayor reduccin de riesgo.
Si se requiere una mayor reduccin de riesgo y esta puede ser
provista en la forma de una SIF, la metodologa LOPA permite
la determinacin del valor de SIL que corresponde a la SIF.

LOPA - Mtodo Cuantitativo
MUY ALTO
PELIGRO PROBABILIDAD RIESGO
ACEPTABLE
PELIGRO PROBABILIDAD PROBABILIDAD PROBABILIDAD RIESGO

LOPA - Niveles Independientes de Proteccin

Un Nivel Independiente de Proteccin (IPL en

ingls) es una capa de proteccin que
prevendr que un escenario inseguro
progrese, en forma totalmente independiente
del evento iniciador o del desempeo de otra
capa de proteccin.

LOPA - Implementacin
1. Estimacin de las consecuencias y de la severidad

2. Desarrollo del escenario
3. Identificacin de la frecuencia del evento iniciador
4. Identificar las capas independientes de proteccin
relacionada
5. Identificar el escenario de la frecuencia
6. Tomar una decisin sobre el riesgo

Riesgo mitigado = frecuencia
Riesgo no IPL1 IPL2 IPL3
reducida * misma consecuencia
mitigado
Escenario de
consecuencia
Prevencin Prevencin Prevencin

Falla
Falla
PFD3 = y3 Reduccin de
f3 = x * y1 * y2 * y3
PFD2 = y2
f2 = x * y1 * y2
frecuencia para
Falla
PFD1 = y1 obtener riesgo
f1 = x * y1
xito tolerable
Evento Iniciador xito Resultado seguro
xito Resultado seguro

Estimated Frequency
f1 = x
Resultado seguro
La Flecha representa severidad y

Impacto frecuencia
frecuencia del Impacto del Evento del evento
si la ltima IPL no es exitosa.
consecuencia

LOPA - Ejemplo
Frecuencia Aceptable del Riesgo 10 * E - 7

Frecuencia del Evento Iniciador 10 * E - 1
PFD IPL1 Diseo del Proceso 10 * E - 2
PFD IPL2 Sistema de Control de Procesos SBCP 10 * E - 1
PFD IPL3 Alarmas + Operador 10 * E - 1
SIL (1 3) Requerido por la SIF 10 * E - ?
Requerido por la SIF = 10*E-7 / 10*E-1 x 10*E-2 x 10*E-1 x 10*E-1 = 10*E-2
SIL = 10 * E - 2

LOPA Planilla Informe

LOPA Datos de Hazop
Informacin requerida por LOPA Informacin suministrada por Hazop
Impacto del Evento Consecuencia
Nivel de Severidad Severidad de la Consecuencia
Causa Iniciadora Causa
Probabilidad Iniciadora Frecuencia de la Causa
Capas de Proteccin Salvaguardas existentes
Mitigacin adicional requerida Salvaguardas nuevas recomendadas

LOPA - Caractersticas
A Favor
Altamente auditable, se asigna un valor a cada etapa
Claridad, es relativamente fcil ver como se han obtenido los
resultados
Permite menor dependencia de los juicios cualitativos
En Contra
Fijar el Criterio de Tolerancia al Riesgo puede ser dificultoso
Se requieren gran cantidad de datos de entrada
Decidir una real independencia es problemtico

Factores Clave para la Seleccin del Mtodo para
Determinar el SIL
Mtodos de Anlisis de Riesgo existentes en la Empresa

Complejidad del Proceso
Comprender el Proceso (experiencia y conocimiento)
Consistencia en la designacin de los miembros del Equipo
de Diseo

Diseo de Hardware

Ciclo de Vida del Hardware

Hardware Conceptos importantes
Bases para la seleccin:
Energizar vs. Desenergizar

Redundancia vs. Diversidad
Demanda Baja, Alta o Continua
Seleccin de Componentes
Tolerancia a Fallas de Hardware
Restricciones a la arquitectura
Probabilidad de Falla ante una Demanda

Energizar vs. Desenergizar
Para que la funcin de seguridad cumpla su cometido debemos

seleccionar el modo de disparo:
Desenergizar para disparo
Energizar para disparo
Cul es la diferencia?
Desenergizar para disparar, el sistema, o subsistema, no requiere
de energa para desempear su funcin de seguridad.
Apertura del rel de un presostato para que se pare una bomba.
Energizar para disparar, el sistema, o subsistema, requiere de la

presencia de energa para desempear su funcin de seguridad.
Accionamiento de un cilindro de gas CO para apagar un incendio

Redundancia
IEC 61511 la define como el uso de mltiples elementos o

sistemas, para desempear una misma funcin.
La redundancia puede ser implementada por elementos
idnticos (redundancia idntica), o por elementos diversos
(redundancia diversa).
Se utiliza, primariamente, para mejorar la confiabilidad o la
disponibilidad.
+
Diversidad
IEC 61511 la define como la existencia de medios diferentes

para desempear una funcin de seguridad.
La diversidad puede llevarse a cabo utilizando diferentes
medios fsicos o diferentes enfoques de diseo.
Es un medio de reducir las fallas de causa comn.
+
Nivel de Integridad de la Seguridad
Tabla 2 Niveles de Integridad de la Seguridad: medidas de falla meta para
funciones de seguridad, asignadas a un sistema E/E/PE relacionado con seguridad
operando en modo de operacin de baja demanda. IEC 61508
Nivel de Integridad Operacin en modo de baja demanda

de la Seguridad (Probabilidad promedio de falla para desempear su funcin
de diseo ante una demanda)
4 10-5 to < 10-4
3 10-4 to < 10-3
2 10-3 to < 10-2
1 10-2 to < 10-1
Fuente: IEC 61508-1

Tabla 3 Niveles de Integridad de la Seguridad: medidas de falla meta para
funciones de seguridad, asignadas a un sistema E/E/PE relacionado con seguridad
operando en modo de operacin de alta demanda o continuo. IEC 61508
Nivel de Integridad Modo de operacin de alta demanda o continuo

de la Seguridad (Probabilidad de falla peligrosa por hora)
4 10-9 to < 10-8
3 10-8 to < 10-7
2 10-7 to < 10-6
1 10-6 to < 10-5
Fuente: IEC 61508-1

IEC 61511 cambia la definicin de modo de operacin:

El modo demanda utiliza la Tabla 3: Probabilidad de Falla ante una
Demanda
Para modo continuo se usa la Tabla 4: Frecuencia de fallas
peligrosas

Probabilidad de falla ante una demanda
Nivel de Integridad Meta de probabilidad promedio Meta de reduccin de

de la Seguridad de falla ante una demanda riesgo
4 10-5 to < 10-4 >10000 a % 100000
3 10-4 to < 10-3 > 1000 a % 10000
2 10-3 to < 10-2 > 100 a % 1000
1 10-2 to < 10-1 > 10 a % 100

Frecuencia de fallas peligrosas en la SIF
Nivel de Integridad Meta de frecuencia de fallas peligrosas para desempear la

de la Seguridad funcin instrumentada de seguridad (por hora)
4 10-9 to < 10-8
3 10-8 to < 10-7
2 10-7 to < 10-6
1 10-6 to < 10-5

Contribucin al SIL
Sensor Logic Solver Elemento Final

30 % 15% 50 % - 55%
No es posible ordenar solamente un SEP SIL 3 y creer

que ya se est cumpliendo con los requerimientos de la
Norma IEC 61508 IEC 61511

Arquitectura Tolerante a Fallas
Definicin de Tolerancia a Fallas

La tolerancia a fallas del hardware, es la habilidad de un
componente o subsistema de continuar estando disponible para
desempear la funcin instrumentada de seguridad requerida, en
presencia de una o ms fallas peligrosas en el hardware.
Una tolerancia a fallas del hardware igual a 1 significa que hay,
por ejemplo, dos dispositivos y la arquitectura es tal que, la falla
de uno de los dos componentes o subsistemas, no impedir la
ocurrencia de la accin segura.
Tolerancia a Fallas N, significa que son necesarias N + 1 fallas
para que la funcin de seguridad quede inhibida.

Es importante notar que los requerimientos de tolerancia a

fallas del hardware representan la redundancia mnima de
componentes o subsistemas.
Dependiendo de la aplicacin, la tasa de fallas del
componente o subsistema y el intervalo de prueba, puede
requerirse redundancia adicional para satisfacer el nivel SIL
de la SIF.

La Tolerancia a Fallas depende enteramente de la

redundancia de componentes
La Redundancia facilita la ejecucin de las fases
Redundancia significa necesariamente replicar n veces los
componentes
La Redundancia se aplica a cualquier nivel
Entrada Salida
Entrada Salida

IEC 61508 - Subsistemas Tipo A
Un subsistema es clasificado Tipo A si:
Los modos de falla estn bien definidos.

El comportamiento de la falla puede ser determinado
completamente.
Est disponible suficientes datos de falla.

IEC 61508 Restricciones en Arquitectura
Tabla 2 Integridad de seguridad del hardware: restricciones en la

arquitectura de subsistemas relacionados con seguridad Tipo A
Fraccin de falla Tolerancia a Fallas del hardware

segura
0 1 2
< 60 % SIL1 SIL2 SIL3
60 % - < 90 % SIL2 SIL3 SIL4
90 % - < 99 % SIL3 SIL4 SIL4
> 99 % SIL3 SIL4 SIL4

IEC 61508 - Subsistemas Tipo B
Un subsistema es clasificado Tipo B si:
Uno o ms modos de falla no estn bien definidos.

El comportamiento de la falla no puede ser determinado
completamente.
No estn disponibles suficientes datos de falla.
Si el componente incluye circuitos integrados, se puede
asegurar 99.9% que es un subsistema tipo B.

Tabla 3 Integridad de seguridad del hardware: restricciones en la

arquitectura de subsistemas relacionados con seguridad Tipo B
Fraccin de falla Tolerancia a Fallas del hardware

segura
0 1 2
< 60 % No permitido SIL1 SIL2
60 % - < 90 % SIL1 SIL2 SIL3
90 % - < 99 % SIL2 SIL3 SIL4
> 99 % SIL3 SIL4 SIL4

Tabla 5 Hardware mnimo para Tolerancia a Fallas de procesadores

lgicos EP

Tabla 6 Hardware mnimo para Tolerancia a Fallas de sensores y

elementos finales y procesadores lgicos no EP

Reduccin de Tolerancia a Fallas de Hardware
La Norma IEC 61511 establece que se puede reducir el

requerimiento de tolerancia a fallas de hardware en 1 si:
El dispositivo de hardware ha sido elegido considerando Uso
Previo.
Solamente pueden ajustarse parmetros relacionados con el
proceso.
El ajuste de los parmetros de proceso est protegido.
El SIL es menor que 4.

Incremento de Tolerancia a Fallas de Hardware
La Norma IEC 61511 establece que se debe incrementar el

requerimiento de tolerancia a fallas de hardware en 1 si:
La falla dominante no es el estado seguro.
Fallas peligrosas no han sido detectadas.

Ejemplo Restricciones Tolerancia a Fallas
Grado de Tolerancia
a Fallas Peligrosa
Tolerancia a Fallas Peligrosa minima 2 (SIL3)
Uso Previo (S) -1
Seguro ante Fallas (S) 0
Requerimiento de TF del subsistema 1

Probabilidad de Falla ante una Demanda - PFD
PFD, qu es?
Es una medida de la integridad de la seguridad de una SIF.
Es un valor que indica la probabilidad de que un sistema falle
en respuesta a una demanda, es incapaz de desempear la
funcin de seguridad. La probabilidad promedio de un sistema
que falla en respuesta a una demanda en un intervalo de
tiempo especificado, se la denomina PFDavg.
PFD es igual a 1 menos la Disponibilidad de Seguridad. Se la
reconoce tambin como Indisponibilidad de la Seguridad.
PFD = f (failure rate, repair rate, test interval, common cause, etc.)

Probabilidad de Falla ante una Demanda
El PFD de los sistemas puede ser determinado a partir de

datos histricos. Cuando estos no estn disponibles, puede
obtenerse una evaluacin sistemtica del desempeo de un
sistema utilizando tcnicas de anlisis de PFD.
Las tcnicas de anlisis de PFD emplean metodologas
sistemticas que descomponen un sistema complejo en sus
componentes bsicos. El desempeo e interacciones de estos
componentes bsicos se fusionan en modelos de confiabilidad
para determinar la disponibilidad general del sistema de
seguridad.

Probabilidad de Falla Segura
Para las SIF tambin se especifica una tasa de falla segura

aceptable. Esta tasa tambin es comnmente conocida como
tasa de disparo falso o tasa de disparo espurio. La tasa de
disparo espurio es incluida en la evaluacin de la SIF porque,
tanto la puesta en marcha como la parada del proceso, son los
perodos donde las chances de ocurrencia de un evento
peligrosos son altas. Entonces, en muchos casos, la reduccin
de la tasa de disparos falsos se expresa tpicamente como el
tiempo medio para disparo falso o MTTFspurious.

Determinacin de PFD
Para el clculo de PFD estn disponibles distintos mtodos de

modelado o anlisis de confiabilidad. El mtodo ms apropiado es
una decisin del analista y depender de las circunstancias.
Entre los mtodos disponibles (ver IEC 61508 6, Anexo B), se
incluyen:
Anlisis Causa - Consecuencia
Anlisis rbol de Fallas
Diagramas en bloque de confiabilidad
Ecuaciones simplificadas
Modelos de Markov

Es un modelo grfico de los caminos dentro de un sistema que

pueden conducir a un evento peligroso predecible y no deseable.
Los caminos interconectan eventos contribuyentes y condiciones,
utilizando smbolos lgicos estndar. Las probabilidades numricas
de ocurrencia pueden ser entradas y propagadas a travs del
modelo para evaluar la probabilidad del evento peligroso
predecible y no deseable.

Los casos en que mejor se aplica son:

Amenazas percibidas de grandes prdidas, alto riesgo.
Numerosos contribuyentes potenciales a un percance.
Sistemas o procesos con mltiples elementos o
complejos.
Eventos no deseables ya identificados.
Causas de percances indiscernibles.

FTA es generalmente un procesos iterativo que envuelve el

modelado de una SIF para determinar el PFD y las modificaciones
necesarias de la SIF para alcanzar el PFD meta.
El Anlisis rbol de Fallas puede describirse en 5 pasos
esenciales:
1. Descripcin de la SIF e Informacin de aplicacin.
2. Identificacin del evento tope.
3. Construccin del diagrama FTA.
4. Examen cualitativo de la estructura del rbol de fallas.
5. Evaluacin cuantitativa del rbol de fallas.

Anlisis rbol de Fallas - Resultados
Descripcin grfica de la cadena de eventos/condiciones que

conducen al evento tope.
Identificacin de los potenciales contribuyentes a fallas que son
crticas.
Mejor comprensin de las caractersticas del sistema.
Penetracin cualitativa/cuantitativa de la probabilidad de
ocurrencia del evento seleccionado para el anlisis.
Identificacin de los recursos comprometidos para prevenir la falla.
Gua para el redespliegue de los recursos para optimizar el control
de riesgos.
Documentacin analtica de los resultados.

Diagrama de bloques de confiabilidad
El diagrama en bloques de confiabilidad puede ser pensado

como un diagrama de flujo que va desde la entrada hasta la
salida del sistema. Cada elemento del sistema es un bloque
del diagrama y los bloques se colocan en relacin con la
arquitectura del SIS, para indicar que el camino desde la
entrada hasta la salida se rompe si uno o ms de los
elementos falla.

Diagrama de bloques de confiabilidad

Modelos de Markov
El principio bsico del Anlisis de Markov es que un

sistema puede existir en diferentes estados.
Cada estado es definido por una falla interna del sistema.
Usualmente, estas fallas internas estn combinadas hasta
un nivel que se llama estados del sistema.
Estos estados estn guiados por la disponibilidad de datos,
por ejemplo, puede haber datos disponibles en el nivel
placas de circuito impreso, pero tambin puede estar
disponible en el nivel de transistores.

Modelos de Markov
Independientemente del nivel de detalle, el sistema puede

estar en los siguientes estados:
Sistema totalmente operacional
Sistema parcialmente fallado (degradado), pero
todava cumple con su funcin.
Sistema totalmente fallado.

Modelos de Markov
El Modelo de Markov es una buena herramienta para el anlisis de

confiabilidad de los sistemas EP debido a que el mtodo es flexible y
brinda un modelo realista. El modelo puede incluir, entre otros:
Fallas de causa comn
Mltiples fallas
Diferentes tiempos de reparacin
Tasas de falla variables
El modelo de Markov es un diagrama de estados con crculos y flechas. Los
crculos representan los estados del componente (operacional o fallado), las
flechas muestran la direccin de las transiciones entre los estados (fallado o
reparacin), por lo que las flechas son arcos de direccin. Las tasas de falla o
reparacin representadas por las flechas con valores numricos. Un modelo
simple es el siguiente:

SEP - Modelo de Markov
Modelo de Markov para un sistema 1oo1 que muestra los efectos de

los distintos tipos de falla

Ecuaciones Simplificadas
La evaluacin de un SIS, o de una porcin de SIS, envuelve la

estimacin del PFDavg y del tiempo medio para un disparo falso o
MTTFspurious de una SIF simple.
Ambos factores pueden son importantes en la seleccin final y
diseo del SIS.
El PFDavg se determina calculando el PFD de todos los
componentes de cada SIF que provee proteccin contra eventos
peligrosos del proceso y combinando estos valores individuales se
obtiene el valor de PFD de la SIF. Este valor se expresa con la
siguiente frmula:

Procedimiento para la determinacin del PFDavg de los sensores:

1. Identificar cada uno de los sensores que detectan las condiciones fuera de lmite y
que podran conducir al evento contra el cual protege la SIF. Slo aquellos sensores
que previenen o mitigan el evento designado son incluidos en los clculos de PFD.
2. Liste la MTTFDU para cada sensor.
3. Calcule el PFD para cada configuracin de sensor utilizando el MTTFDU y las
ecuaciones en IEC 61508 Parte 6 con las consideraciones de redundancia que
correspondan.
4. Sume los valores de PFD de los sensores para obtener el componente PFDS de la
SIF que est siendo evaluada. Este paso slo se requiere si la SIF incluye entradas
de mltiples sensores.
El componente PFD avg de la SIF correspondiente a los sensores combinados es:

Procedimiento para la determinacin del PFDavg para los elementos finales:
1. Identificar cada elemento final que protege contra las condiciones fuera de
lmites que pueden conducir al evento peligroso contra el cual nos protege la SIF.
Slo aquellos elementos finales que previenen o mitigan el evento designado son
incluidos en los clculos de PFD.
2. Liste la MTTFDU para cada elemento final.
3. Calcule el PFD para cada configuracin de elemento final utilizando el MTTFDU
y las ecuaciones en IEC 61508 Parte 6 con las consideraciones de redundancia
que correspondan.
4. Sume los valores de PFD de los elementos finales para obtener el componente
PFDA de la SIF que est siendo evaluada. Este paso slo se requiere si la SIF
incluye mltiples elementos finales.
El componente PFDavg de la SIF correspondiente a los elementos finales
combinados es:

Procedimiento para la determinacin del PFDavg para el procesador lgico es:

Nota. Puede ser provisto un slo procesador lgico para mltiples SIF.
1. Identificar el tipo de hardware del Procesador lgico utilizado.
2. Seleccionar el MTTFDU para el procesador lgico (tpicamente se obtiene del
fabricante del procesador lgico).
Nota. Puesto que el PFDavg del procesador lgico es una funcin no lineal, el
usuario debera solicitar el MTTFDU para un nmero de intervalos de prueba
funcional y utilizar aquellos que se ajusten a los requerimientos del sistema.
3. Calcular el PFDavg para la porcin del procesador lgico asociado a la SIF
utilizando las ecuaciones de IEC 61508 Parte 6 con las consideraciones de
redundancia apropiadas. Nota. Este paso slo se requiere cuando el fabricante no
suministra el PFDavg para el sistema procesador lgico totalmente integrado)

Procedimiento para determinar el PFDavg de la fuente de alimentacin:

Si el SIS est diseado para desenergizar para disparo, la fuente de
alimentacin no tiene impacto sobre el PFDavg de la SIF debido a que una
falla de la fuente de alimentacin resultar en una accin que llevara al
proceso a un estado seguro. Si el SIS est diseado para energizar para
disparo, el PFDavg de la fuente de alimentacin se determina as:
1. Liste el MTTFDU para cada fuente de alimentacin del SIS.
Calcule el PFDavg para la fuente de alimentacin utilizando las frmulas de
IEC 61508 Parte 6 con las consideraciones de redundancia apropiadas.

Las ecuaciones simplificadas sin los trminos que incluyen mltiples fallas
durante la reparacin, fallas de causa comn y errores sistemticos son las
siguientes:

Datos requeridos para confiabilidad
Los modelos de confiabilidad nos permiten conocer el

comportamiento de los sistemas de seguridad ante la
presencia de fallas. Para realizar los clculos necesitamos
los siguientes datos:
Tasa de Falla Total
Porcentaje de fallas seguras
Cobertura de diagnstico fallas peligrosas
Cobertura de diagnstico fallas seguras
Tiempo de reparacin
Intervalo de prueba de funcionamiento.

Cmo se obtienen los datos
Debemos realizar un estudio de confiabilidad para la

obtencin de datos, especialmente de productos nuevos,
incluyendo hardware electrnico, hardware mecnico y
hardware electro-mecnico.
El anlisis tpico es el FMEA: Anlisis de Modo y Efectos
de Falla

Medidas de Control de Fallas
Las fallas en los SIS, de acuerdo al momento en que se

presentan, pueden clasificarse en
Fallas que se originan antes o durante la instalacin del sistema
(fallas de software especificacin y programacin - fallas de
hardware fabricacin o incorrecta especificacin.
Fallas debidas a error humano que se originan despus de la
instalacin del sistema (fallas aleatorias de hardware, fallas por
uso incorrecto).

La Norma IEC 61508 propone una serie de medidas para

evitar o controlar esas fallas.
En la IEC 61508 Parte 2, el Anexo A est dedicado a
medidas de control de fallas durante la operacin.
En la IEC 61508 Parte 2, el Anexo B est dedicado a
medidas para evitar fallas durante las distintas fases del ciclo
de vida de seguridad.

Table A.4 Processing units
Diagnostic technique/measure See Maximum Notes

IEC diagnostic
61508- coverage
7 considered
achievable
Comparator A.1.3 high depends on the quality of the
comparison
Majority voter A.1.4 high depends on the quality of the
voting
Self-test by software: limited A.3.1 low
number of patterns (one channel)
Self-test by software: walking bit A.3.2 medium
(one-channel)
Self-test supported by hardware A.3.3 medium
(one-channel)
Coded processing (one-channel) A.3.4 high
Reciprocal comparison by software A.3.5 high depends on the quality of the

comparison

Table A.18 Techniques and measures to control systematic operational failures
Technique/measure See IEC SIL1 SIL2 SIL3 SIL4

61508-7
Modification protection B.4.8 HR HR HR HR
mandatory mandatory mandatory mandatory
Failure detection by on-line A.1.1 R R R R
monitoring low low medium high
(see note 4)
Input acknowledgement B.4.9 R R R R
low low medium high
Failure assertion programming C.3.3 See table A.2 of IEC 61508-3

Medidas Para Evitar Fallas
Table B.3 Recommendations to avoid faults during E/E/PES integration
Technique/measure See SIL1 SIL2 SIL3 SIL4

IEC
61508-7
Functional testing B.5.1 HR HR HR HR

mandatory mandatory mandatory mandatory
Project management B.1.1 HR HR HR HR
low low medium high
Documentation B.1.2 HR HR HR HR
low low medium high
Black-box testing B.5.2 R R R R
low low medium high
Field experience B.5.4 R R R R
low low medium high
Statistical testing B.5.3 - - R R
low low medium high

Diseo de Software

Ciclo de Vida de Software

Relacin Hardware vs. Software
Alcance de
E/E/PES Parte 2
E/E/PES SRS
Arquitectura
Hardware requerimientos de seguridad
Alcance de Software Hardware Electr- Hardware

nico Programable No-programable
Parte 3 Requerimientos
de seguridad
Diseo y Desarrollo Diseo y Desarrollo

Software Diseo Hardware Electrnica Hardware No-Programable
Y Desarrollo Programable
Integracin de PE E/E/PES
(Hardware y software)
Integracin

Prueba de Software
Durante el diseo del software de aplicacin se lo somete a diferentes

pruebas con el propsito de eliminar errores que despus inhiban al
sistema de responder a una demanda.
Las diferentes cuestiones que deben responderse son, al menos:
La especificacin es correcta?
El programa desarrollado es correcto?
Las pruebas realizadas son correctas?
La prueba del software se realiza para tener un software seguro, es decir

un software que permita al sistema de seguridad ejecutar las funciones
de seguridad an bajo condiciones de falla.

Prueba de Software
Un software seguro se logra utilizando:

Buenas prcticas de ingeniera e implementando un sistema de
aseguramiento de la calidad.
Utilizando un ciclo de vida para el desarrollo.
Con una seleccin apropiada de medidas para evitar fallas. Por
ejemplo, seguir las recomendaciones de las tablas A y B de la IEC
61508 Parte 3.

Modelo V
E/E/PES Software
Software
E/E/PES Validacin
Especificacin Especificacin
Especificacin Pruebade
de
Especificacin Prueba Software
Requerimientos Requerimientos
Requerimientos Validacin
Requerimientos Validacin Validado
deSeguridad
Seguridad deSeguridad
de Seguridad
de
Test de Integracin
Software
E/E/PES del Software de
Arquitectura
Arquitectura Aplicacin
Test
Software
Software
Desarrollo.
Aplicacin
Desarrollo
Prueba
Mdulo
Mdulo
Aplicacin
Entrega
Entrega
Verificacin
Verificacin
Desarrollo y
Prueba Cdigo

Modelo V
La interpretacin del Modelo V es la siguiente:

Los elementos de la izquierda representan especificaciones,
diseo y cdigos.
Los elementos de la derecha representan las distintas fases de
pruebas y verificaciones.
Se requiere que haya realimentacin entre las fases.
El diseo y las pruebas estn asociadas a travs de las
actividades de verificacin.

ARQUITECTURA de SIS

Arquitectura de SIS
TOLERANTE A FALLAS
(FAULT TOLERANT)

Configuraciones Tolerantes a Fallas
SIS-LS con CPU doble y mdulos de E/S dobles
SIS-LS con CPU triple y mdulos de E/S dobles o triples.
SIS-LS TMR

CPU doble y mdulos de E/S dobles
Esquemtico lgica de parada 2oo2

Esquemtico lgica de parada 1oo2

Ejemplo 1oo2D Siemens Quadlog

Ejemplo 1oo2D Yokogawa ProSafe-RS

CPU triple y mdulos de E/S triples
Ejemplo 2oo3 TMR GE Fanuc

TMR Modular Triple Redundante
Esquemtico 2oo3D SIFT TMR Triconex

TMR Modular Triple Redundante
Esquemtico 2oo3D HIFT TMR Triplex

Redundancia Modular Cudruple
Ejemplo 2oo4D QMR Honeywell Safety Manager

Arquitecturas
SEGURO ANTE FALLAS

(FAIL-SAFE)

Arquitecturas Seguras ante Fallas
SIS-LS con CPU doble y mdulos E/S simples
SIS-LS con CPU doble y mdulos E/S simples con

diagnstico

CPU doble y mdulos E/S simples
Esquemtico 1oo1D Yokogawa ProSafe-RS

CPU simple y mdulos E/S simples
Ejemplo 1oo1D Siemens Quadlog

CPU doble y mdulos E/S simples
Ejemplo 1oo2D DMR Honeywell Safety Manager

Accin ante Falla

Operacin y Mantenimiento

SIS Criterios de Operacin
IEC 61511 contiene requerimientos relativos a operacin,

incluyendo planificacin, procedimientos y entrenamiento de
operadores.
Por ejemplo, el operador debe estar entrenado en:
Funcin del SIS: valor de disparo y acciones
Peligros que el SIS est tratando de prevenir
Operacin de by-pass y cuando utilizarlos
Medidas de compensacin cuando el SIS est en by-pass
Respuesta del operador a alarmas de diagnsticos
Cuando y como el operador debe operar en manual

SIS Criterios de Mantenimiento
Tambin incluye que debe hacerse cuando el SIS falla y como

documentar el test y reparacin de los dispositivos del SIS.
Acciones de rutina para mantener la seguridad funcional
Acciones para evitar situaciones peligrosas
Procedimientos ante fallas o faltas
Cuando se necesita un by-pass para test o mantenimiento
Procedimientos para test prueba de funcionamiento
Entrenamiento del personal
Sistema de registro de mantenimiento
Fallas seguras y peligrosas, reparaciones y causas raz

SIS Criterios de Mantenimiento
Si hay ms demandas que las asumidas en el diseo,

debe revisarse el anlisis de peligros y la evaluacin de
riesgos a fin de determinar si es necesario revisar el SIL
seleccionado como meta
Si los dispositivos del SIS tienen una tasa de falla mayor

que la utilizada en los clculos de diseo, debe hacerse
una revaluacin del PFD avg en base a los nuevos datos
y deben implementarse modificaciones al SIS si es
necesario.

SIS - Test de Sistemas
En las Normas IEC 61508 e IEC 61511 hay requerimientos bien

claros para realizar pruebas de funcionamiento (tests), que
incluyen a todos los componentes del SIS
El test de los sistemas se efecta por una sola y nica razn,
PARA DESCUBRIR LAS FALLAS ENCUBIERTAS! El test no
previene la ocurrencia de disparos falsos. Ud. puede testear su
sistema hoy, pero puede fallar maana
Lo que no est claramente explicado es la metodologa para un
ptimo test de cada dispositivo que forma parte de la funcin
instrumentada de seguridad
Cada SIS ser inspeccionado visualmente en forma peridica
para asegurar que no haya cambios no autorizados y no se
observan deterioros fsicos.

SIS - Test de Sistemas
Programa de Testeo
Debe incluir los siguientes objetivos
1. Procedimientos escritos para asegurar que los tests se realizan en forma
segura y no generan un aparada inadvertida
2. La frecuencia estar determinada para asegurar la confiabilidad del sistema
de seguridad. Tests muy frecuentes generan costos innecesarios, pocos
tests pueden resultar en un incidente peligroso
3. Las aplicaciones que requieran test en lnea tendrn el diseo apropiado
incluyendo by-pass, para asegurar el punto 1
4. Tests fuera de lnea son fciles de manejar pero tienen los mismos
requerimientos de documentacin y frecuencia que los que se realizan en
lnea
5. Todo el programa de testeo debe ser revisado anualmente para determinar
si la frecuencia es adecuada y/o se necesita realizar modificaciones

Instalacin y Comisionado

Instalacin y Prueba Mecnica
Todo el equipamiento debe instalarse segn planes

de diseo e instalacin
Cualquier modificacin requiere el retorno a la fase
apropiada del ciclo de vida
Las actividades de prueba mecnica incluyen:
Equipos y cableado instalados correctamente
Fuentes de energa operacionales
Todos los instrumentos estn calibrados
Sensores y actuadores operacionales
Procesador lgico y E/S operacionales
No hay daos fsicos visibles
Previo a la puesta en marcha debe realizarse un
verificacin funcional o test de aceptacin (SAT)

Validacin

Validacin
Mediante el proceso de Validacin lo que hacemos es verificar que

hemos instalado el sistema adecuado.
Validamos lo especificado, en base a la especificacin de
Requerimientos de Seguridad.
Plan de Validacin
Pruebas en Fbrica (FAT) y en el Sitio (SAT)

Administracin del Cambio (MOC)
Requerida para:
Modificaciones de procedimientos operativos
Modificaciones al proceso
Modificaciones al software
MOC debe contener
Bases tcnicas para los cambios propuestos
Impacto sobre la salud y el ambiente
Procedimientos para la Autorizacin
Revisin de los cambios requeridos
Personal afectado debe ser notificado
Los cambios deben realizarse a partir de la fase
del ciclo de vida apropiada

Administracin del Cambio (MOC)
Las modificaciones al sistema deben ser ejecutadas siguiendo las

mismas estrictas reglas que fueron utilizadas para el diseo original
del SIS. El procedimiento a seguir es el siguiente:
Desempeo del sistema Solicitud OP / MANT

por debajo de metas Cambios en legislacin
Solicitud de
Fallas Sistemticas Modificacin Modificaciones en EBC
Incidentes / Accidentes Cambios en SRS
Estudio Anlisis de HAZOP

Impacto
Informe Anlisis de
Impacto
A Fase
apropiada del
Autorizacin
Ciclo de Vida
Desinstalacin
Realice una revisin previa apropiada

antes de poner fuera de servicio al SIS
Asegrese que otras unidades de proceso

no estarn afectadas
Requiere de un plan de Administracin

para el Cambio debidamente autorizado
Aplicacin de los pasos del Ciclo de Vida,

incluyendo Evaluacin de Riesgos

Certificacin

Certificacin
Organizaciones como TV Rheinland y TV Product Service, entre

otras, realizan la certificacin de sistemas para uso en aplicaciones
de seguridad, en un todo de acuerdo a las normas de seguridad
publicadas por IEC, DIN, etc.
Estas entidades no escriben normas, solo certifican equipos segn
la norma que se seleccione. Todas pueden realizar evaluaciones
simultneas de productos segn normas IEC, DIN y ANSI/ISA,
determinando los niveles AK y SIL. Por ejemplo, TV Rheinland
certific durante muchos aos equipamiento de control para ser
utilizado en seguridad, utilizando las normas alemanas
DIN V 19250/05.94
DIN V VDE 0801/01.90 with amendment A1: 1994-10

Certificacin
Los certificados expedidos por TV le aseguran al usuario final que los

componentes y/o subsistemas certificados fueron evaluados por una
agencia de aprobacin independiente, respecto de los requerimientos
expresados en las normas de aplicacin.
El conjunto de normas utilizados para la certificacin consta en el
certificado expedido.
El certificado muestra, tambin, que los componentes o subsistemas
pueden se utilizados en aplicaciones especficas de acuerdo a la Clase
de Requerimiento (RC) o al Nivel de Integridad (SIL)
El usuario final debe estar en conocimiento de cmo utilizar el
componente o subsistema en funciones relacionadas con seguridad.
Debido a las distintas posibilidades existentes para configurar un
sistema e seguridad dado, el usuario final debe obtener la informacin
correspondiente de parte del fabricante del sistema.

Certificacin Probado en Uso IEC 61508 - 2
Un subsistema desarrollado previamente, ser visto como probado en

uso cuando haya evidencia documental adecuada basada en el uso
previo de una configuracin especfica del subsistema (durante el tiempo
de uso se han registrado formalmente todas las fallas y toma en
consideracin cualquier anlisis o test adicional, segn se requiera).
La evidencia documental demostrar que la probabilidad de cualquier falla
de un subsistema (debido a fallas aleatorias de hardware y sistemticas)
de un sistema E/E/PE relacionado con seguridad, es lo suficientemente
baja de manera tal que el nivel de integridad de la seguridad requerido
para la funcin de seguridad que utiliza el sistema, es alcanzado.

La evidencia documental demostrar que las condiciones previas

de uso de un subsistema especfico son las mismas que, o lo
suficientemente cerca de, aquellas que sern experimentadas por
el subsistema como parte de un sistema E/E/PE relacionado con
seguridad, en orden de poder determinar que la probabilidad de
una falla sistemtica no revelada es tan baja, que el nivel de
integridad de la seguridad de la funcin de seguridad que utiliza el
subsistema es alcanzado.

De acuerdo a antecedentes existentes deben cumplirse los siguientes
puntos:
Especificacin sin cambios;
10 sistemas operando en diferentes aplicaciones;
10*E5 horas de operacin y por lo menos un ao de historia de servicio.
La experiencia de campo es demostrada por la documentacin suministrada
por el proveedor y/o fabricante u operador. La documentacin incluir como
mnimo:
La designacin exacta del sistema y sus componentes, incluyendo
Versin de control del hardware;
Usuarios y tiempo de aplicacin;
Horas de operacin;
Los procedimientos para la seleccin de los sistemas y aplicaciones en los que se
llevan a cabo las pruebas;
Registro de deteccin y remocin de fallas.
Certificacin Uso Previo IEC 61511 - 1
Requerimientos para la seleccin de componentes y subsistemas en base a
uso previo:
Evidencia apropiada deber estar disponible demostrando que los componentes y
subsistemas son adecuados para uso en un SIS.
NOTA 1 En el caso de elementos de campo, hay gran experiencia operativa tanto en
aplicaciones de seguridad u otras. Esta informacin puede ser utilizada como base
para la evidencia.
NOTA 2 El nivel de detalle de la evidencia debera estar de acuerdo con la
complejidad del componente o subsistema considerado y con la probabilidad de falla
necesaria para alcanzar el nivel de integridad de la seguridad de la funcin
instrumentada de seguridad.
La evidencia de adecuacin incluir lo siguiente:
Consideracin de la calidad del fabricante, su administracin y del sistema de gestin
de la configuracin
Adecuada identificacin y especificacin de los componentes o subsistemas
El volumen de experiencia operativa
Certificacin Uso Previo IEC 61511 - 1
Requerimientos para la seleccin de componentes y subsistemas

programables FPL (por ejemplo, dispositivos de campo) en base a uso
previo

programables LVL (por ejemplo, procesadores lgicos) en base a uso
previo

programables FVL (por ejemplo, procesadores lgicos)

Certificacin Cumplimiento de Normas IEC 61508/IEC 61511
El cumplimiento de los requerimientos de la norma y la certificacin de una

entidad independiente facilita el diseo del sistema y lo hace ms econmico
Los certificados de terceros no son garanta de que los productos pueden ser
utilizados en todas las aplicaciones de seguridad. En el reporte del Certificador o
en el manual de Seguridad del fabricante deben estar listadas las restricciones
de uso.
El subsistema cumple con los requerimientos cualitativos correspondientes al
nivel de integridad de la seguridad de la funcin instrumentada de seguridad
Procedimientos para el desarrollo del diseo han sido escritos y son seguidos.
Los requerimientos tcnicos de la norma estn implementados en el subsistema.
El subsistema tiene definida una probabilidad de falla ante una demanda mxima
(PFDAVG) para la funcin de seguridad.

Certificacin
Para ms informacin sobre los sistemas certificados por

TV, consultar en
http://www.tuv-fs.com/index.htm
http://www.tuvasi.com

Sumario Seleccin de SIS

Recomendaciones para Usuarios
1. Adopte IEC 61511

2. Anlisis de Peligros y Evaluacin de Riesgos en Proceso para
decidir cul es el mejor mtodo para proteger su planta
3. Adicione capas de proteccin no-SIS en lo posible
4. En base a la Evaluacin de riesgos seleccione el SIS certificado,
por un ente confiable, que mejor cumpla sus necesidades
5. Elija el SIS que mejor se integre con sus sistema de control, pero
manteniendo el grado de separacin requerido por las normas.
6. Elija el sistema que provea una solucin de seguridad integrada
desde el sensor hasta la vlvula de control.
7. Monitoreo continuo del equipamiento de campo y tests peridicos

Recomendaciones para Usuarios
8. Seleccione un sistema que maximice la seguridad a la vez que

maximice, simultneamente, la disponibilidad, a travs de
tests automticos y diagnsticos extensos.
9. Disee seguridad dentro del proceso
10. Asegrese que el diseo conceptual cumple con los
requerimientos de desempeo
11. Documente todos los procedimientos
12. Solicite a su proveedor el Manual de Seguridad que incluye las
restricciones de uso
13. Siga los procedimientos para la Administracin de Cambios

Bibliografa

Bibliografa
IEC 61508 Parts 1 to 7 - (1999-05) Functional safety of electrical/electronic/programmable electronic safety-

related systems.
IEC 61511 Parts 1 to 3 - Edition 1.0 (2003 12) Functional Safety Safety Instrumented Systems for the
process industry sector
Safety Instrumented Systems: Design, Analysis, and Justification - ISA publication, 2nd Edition, 2004
Paul Gruhn, P.E., CFSE and Harry L. Cheddie, P.Eng., CFSE
Anlisis y reduccin de riesgos en la industria qumica - J. M. Santamara y P.A. Braa. Ediciones Fundacin
MAPFRE, Espaa, 1994
Are your instrumented safety systems up to standard? - Kimberly A. Ford and Angela E. Summers, Ph.D, Sis-
Tech Solutions.
Dual vs. Triple - Paul Gruhn, Siemens Energy & Automation, May 2000
Separation control and safety - William M. Goble, Vol. 79 No. 8 Automation Safety, August 2000
Fail safe or fault tolerant? - Russell Cockman, September 2000
2oo4D: Nueva generacin de sistemas de seguridad Honeywell S.A.I.C., Revista Instrumentacin y Control
Automtico, Nmero 109, Buenos Aires, Argentina.
Sistemas Instrumentados de Seguridad Evolucin, diseo y aplicacin Ing. Qco. Roberto E. Varela
Editoral Soluciones en Control . Buenos Aires 2003

It should not be necessary for each generation to rediscover
principles of process safety which the generation before
discovered.
We must learn from the experience of others rather than learn
the hard way.
We must pass on to the next generation a record of what we
have learned.
Jesse C. Ducommun - Safety Pioneer
Amoco Oil Vice-president of Manufacturing 1955


Apunte AADECA Seguridad Funcional PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Apunte AADECA Seguridad Funcional PDF

Cargado por

Copyright:

Formatos disponibles

Introduccin a la

Ing. Qco. Roberto E. Varela

Ing. Roberto E. Varela

Ing. Qco. Roberto E. Varela MARZO 26, 2007

La informacin contenida en el curso consiste en conceptos fundamentales de

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Accidentes industriales emblemticos

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Cuales son los riesgos dentro de la planta?

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Cmo se evala un SIS?

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Incidente Fecha Vctimas Heridos Prdidas, M$

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Grandes cambios en la industria en los ltimos 60 aos

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Los accidentes pueden ser causados, generalmente, por fallos o

Las fallas tcnicas tienen, en general, su origen en errores

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Generalmente, un evento o condicin puede llevar a un cierto nmero de fallas

Pueden ser fatalidades, daos fsicos al personal, daos a las

Consecuencias de largo plazo

Ing. Qco. Roberto E. Varela MARZO 26, 2007

La empresa puede verse afectada seriamente por la reaccin adversa del

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Fuente: HSE UK - 1987

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Percepcin del riesgo

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

IEC 61508 Functional Safety of E/E/PE safety-related systems

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Es el estado en el que hay certeza de que no existe la posibilidad

Significa estar libre de riesgos inaceptables que puedan provocar

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Es la parte de la seguridad general, relacionada con el EBC y del

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Respuesta de la Comunidad a las Emergencias

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Es un sistema diseado para responder a condiciones en la

Adems genera las salidas correctas para mitigar

Fuente: Health and Safety Executive (HSE), 1987.

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Sistemas de parada de emergencia

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Es una funcin a ser implementada en un Sistema E/E/PE,

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Funcin Instrumentada de Seguridad: es una funcin a ser implementada en un

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Una funcin instrumentada de seguridad es

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Propiedades bsicas de las SIF:

Ing. Qco. Roberto E. Varela MARZO 26, 2007

Criterio para la asignacin de las SIF