Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad funcional en
la industria de proceso
Principios, normas e implementacin
Publicacin: SAFEBK-RM003A-ES-P Marzo de 2013 2013 Rockwell Automation, Inc. Todos los derechos reservados.
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Contenido
Captulo 1 Introduccin a IEC 61511 ........................................................................ 3
1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Prefacio
La norma IEC 61508 abarca la gestin de la seguridad de sistemas elctricos, electrnicos
y electrnicos programables (E/E/PE) a lo largo de su vida til, desde el diseo hasta el
desmantelamiento. Aplica los principios de seguridad en la gestin de sistemas y la
ingeniera de seguridad en su desarrollo.
La norma est pensada tanto como base para la preparacin de normas ms especficas,
como para utilizarse de forma autnoma. Sin embargo se prefiere la primera aplicacin;
el segundo uso requiere la personalizacin de la norma, que la gerencia la comprenda de
manera significativa y la planificacin considerable de su introduccin y uso.
Exencin de responsabilidad
El uso de corchetes [ ] indica una referencia cruzada a una seccin de este documento.
2
MANUAL DE SEGURIDAD DE PROCESOS 1
Introduccin a IEC 61511
IEC 61508 [19.1] es una norma genrica aplicable a todos los sistemas E/E/PE relacionados
con la seguridad, independientemente de su uso o aplicacin. El ttulo de la norma es:
La norma da por supuesto que se deben facilitar funciones de seguridad para reducir
dichos riesgos. Las funciones de seguridad pueden formar en conjunto un sistema
instrumentado de seguridad (SIS), y su diseo y funcionamiento deben estar basados
en la evaluacin y la comprensin de los riesgos.
IEC 61511 no es una norma de diseo, sino una norma para la gestin de la seguridad
a lo largo del ciclo de vida til completo de un sistema, desde el diseo hasta el
desmantelamiento. En este enfoque es fundamental el ciclo de vida de seguridad general,
que describe las actividades relacionadas con la especificacin, el desarrollo, el
funcionamiento o el mantenimiento de un sistema instrumentado de seguridad (SIS).
3
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
4
MANUAL DE SEGURIDAD DE PROCESOS 1
Introduccin a IEC 61511
Requisitos tcnicos
Parte 1
IEC 61511-1, 8: Desarrollo de los requisitos globales de seguridad
(concepto, definicin del alcance, evaluacin de peligros y de riesgos)
Parte 1
IEC 61511-1, 9, 10: Asignacin de los requisitos de seguridad a las funciones instrumentadas
de seguridad y desarrollo de la especificacin de los requisitos de seguridad
Parte 1
IEC 61511-1, 11, 12
Fase de diseo para los sistemas Fase de diseo para el software del
instrumentados de seguridad sistema instrumentado de seguridad
Parte 1
IEC 61511-1, 13, 14, 15: Prueba de aceptacin de fbrica, instalacin y puesta en
marcha y validacin de seguridad de los sistemas instrumentados de seguridad
Parte 1
IEC 61511-1, 16, 17, 18: Funcionamiento y mantenimiento, modificacin y readaptacin,
desmantelamiento o desecho de los sistemas instrumentados de seguridad
Elementos de respaldo
Parte 1
IEC 61511-1, 2: Referencias
IEC 61511-1, 3: Definiciones y abreviaturas
IEC 61511-1, 4: Cumplimiento con la normativa
IEC 61511-1, 5: Gestin de la seguridad funcional
IEC 61511-1, 6: Requisitos del ciclo de vida de la seguridad
IEC 61511-1, 7: Verificacin
IEC 61511-1, 19: Requisitos de informacin
IEC 61511-1, Anexo A: Diferencias
Parte 2
IEC 61511-2: Gua para la aplicacin de la parte 1
Parte 3
IEC 61511-3: Gua para la determinacin de los
niveles de integridad de seguridad requeridos
Figura 1: Estructura de la norma
5
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Nota: En muchos pases tienen una legislacin o normativa similar a la Health and Safety
at Work Act etc. 1974 del Reino Unido, citada en el texto como referencia. Para simplificar
en este documento, por favor asuma que cuando se cita la Health and Safety at Work act,
tambin implica otras leyes y normativas pertinentes que puedan existir en su pas.
6
MANUAL DE SEGURIDAD DE PROCESOS 1
Introduccin a IEC 61511
Adems, debe ser responsabilidad del empleador llevar a cabo sus tareas de forma que
garantice, en la medida en que resulte razonablemente prctico, que las personas a las
que no emplea y que pudieran verse afectadas no queden expuestas a riesgos a su salud
o a su seguridad.
La norma IEC 61511 establece que para declarar la conformidad debe demostrarse que
se hayan cumplido los requisitos de la norma de acuerdo a los criterios requeridos y que,
en cada clusula o subclusula, se hayan cumplido todos los objetivos.
En la prctica, por lo general resulta difcil demostrar la conformidad total con cada
clusula y subclusula de la norma y se precisa cierto juicio para determinar el nivel
de rigor aplicado al cumplimiento de los requisitos. Normalmente, el grado de rigor
necesario depende de determinados factores como, por ejemplo:
En otras palabras debe tomarse una decisin basada en el riesgo. En caso de falta de
experiencia, cierta participacin externa aumentara la credibilidad de la declaracin.
Puesto que la norma no es una ley, ya sea que usted cumpla con sus requisitos o no, usted
debe ser consciente de las consecuencias de la falta de conformidad. Como empleado,
responsable a cargo o responsable del riesgo, usted tiene la obligacin, conforme a la Ley
de Salud y Seguridad en el Trabajo, de controlar el riesgo en su lugar de trabajo.
Esta norma proporciona un enfoque sistemtico a la gestin de todas las actividades del
ciclo de vida de seguridad para sistemas que acostumbran a desempear funciones de
seguridad y constituye, por lo tanto, una fuente adecuada de informacin y de tcnicas.
En caso de que algo saliera mal y, como consecuencia, alguien resultara herido o
enfermara y usted no hubiera utilizado la mejor informacin a su disposicin sobre la
gestin del riesgo en cuestin, estara en riesgo de ser investigado y procesado de
acuerdo con la Ley de Salud y Seguridad en el Trabajo.
Est claro que, si usted est implicado en cualquier fase del ciclo de vida de seguridad,
sera razonable esperar que aplique la mejor informacin a su disposicin para
garantizar que los riesgos asociados a su planta se controlen a un nivel tolerable. Podra
argumentarse que la mejor informacin disponible es la norma IEC 61511 y, por lo tanto,
en caso de que algo fuera mal, el incumplimiento podra interpretarse como negligencia.
Existen numerosas plantas que fueron diseadas y construidas antes de que la norma
IEC 61511 se publicara formalmente y se encontrara disponible. Sin embargo, esta situacin
no supone un cambio en sus responsabilidades y, si usted est implicado en alguna fase
del ciclo de vida de seguridad de una planta antigua (por ejemplo, funcionamiento,
mantenimiento, etc.), entonces sus obligaciones permanecen conforme a la Ley de Salud y
Seguridad en el Trabajo y los riesgos deben seguir siendo controlados como corresponda.
La norma, por lo tanto, sigue siendo aplicable a estas plantas antiguas.
En realidad, puede que sienta la necesidad de volver a las fases iniciales del ciclo de vida
de seguridad de la planta existente y revisar o incluso realizar un nuevo estudio de riesgos
y operabilidad (HAZOP) partiendo de cero. Al llevar el proceso hasta su conclusin,
es posible que usted identifique riesgos no protegidos por las funciones de seguridad
existentes, y ser responsabilidad suya controlar dichos riesgos de algn modo.
8
MANUAL DE SEGURIDAD DE PROCESOS 1
Introduccin a IEC 61511
Requisitos contractuales;
Optimizacin de la arquitectura del diseo;
Posible ventaja en lo que respecta a marketing.
Por lo tanto, cuando un fabricante declara, por ejemplo, que su producto es un sensor de
presin SIL2 o un PLC SIL3 en realidad significa que el sensor de presin es adecuado para
ser usado en una funcin de seguridad SIL2 o que el PLC es adecuado para ser usado en
una funcin de seguridad SIL3.
Las declaraciones del fabricante pueden respaldarse incluso con un certificado SIL
emitido por un organismo de evaluacin independiente, pero esto no significa que la
funcin de seguridad original cumpla con los requisitos de nivel de integridad de
seguridad (SIL). El certificado SIL no es sustituto de la demostracin de conformidad,
9
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
10
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
5
Instalacin, puesta en marcha Verificacin
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
11
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
riesgo. Esto resulta fundamental para comprender los peligros y los riesgos que entraa el
proceso.
Una vez que se establece la reduccin de riesgos necesaria, se especifican los medios para
obtenerla durante la asignacin (fase 2) y los requisitos de seguridad generales (fase 3).
Muchos de los requisitos de la norma son tcnicos por naturaleza, pero el enfoque
del ciclo de vida concede la misma importancia a actividades de gestin efectivas
como la planificacin, la documentacin, el funcionamiento, el mantenimiento, etc.
y la modificacin, y stas deben incluirse en todas las fases. Las actividades de
documentacin, gestin y evaluacin son paralelas, y resultan aplicables, a todas las
fases y a las actividades del ciclo de vida que se muestran en la Figura 2.
La conformidad con la norma requiere comprender el ciclo de vida y que las actividades
especificadas se lleven a cabo y se documenten. El seguimiento del ciclo de vida no es
un ejercicio de papeleo que pueda satisfacerse generando informes y marcando casillas.
La conformidad requiere que las actividades se lleven a cabo de forma efectiva y que se
produzca informacin en casa fase, que permita ejecutar las fases posteriores.
12
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
Rara vez se aplica un alcance de actividad limitado y se recomienda tener en cuenta todas
las fases del ciclo de vida. Por ejemplo, para un operario, las modificaciones en las fases
de funcionamiento y de mantenimiento pueden requerir decisiones y evaluaciones
previas; por ejemplo, la re-evaluacin del HAZOP y del anlisis de riesgos volviendo atrs
en el ciclo de vida.
Cada fase del ciclo de vida describe una actividad, y cada actividad cuenta con requisitos
de informacin en forma de entradas. Cada fase consiste de una actividad, para la que
usted debe disponer de procedimientos documentados, que produce informacin en
forma de salidas para utilizar en las fases posteriores.
Debe tenerse en cuenta que, a pesar de que la norma describe las fases del ciclo de vida
y los requisitos informativos de cada fase, en la prctica algunas de las fases y de los
documentos asociados a ellas pueden combinarse si resulta apropiado. La claridad y la
simplicidad son importantes, y las actividades deben llevarse a cabo y la informacin
debe presentarse de la forma ms efectiva posible.
13
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
I/P 1. Anlisis de
peligros y
O/P riesgos
Descripcin de informacin relacionada con
el anlisis de peligros y riesgos.
Anlisis de peligros y riesgos: Peligros; frecuencias de evento
iniciador; otras medidas para reducir riesgos; consecuencias; 11. Planifi-
riesgo; consideracin del riesgo mximo tolerable; cacin
disponibilidad de datos; supuestos relativos a la documentacin.
14
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
I/P3. Especificacin
requisitos de
O/P seguridad
Especificacin de los requisitos de seguridad SIS.
Puede incluir C y E.
Debe incluir:
a) especificacin de estado de seguridad;
b) requisito para pruebas de calidad;
c) tiempo de respuesta;
d) interfaces de operador necesarias;
e) interfaces a otros sistemas;
f ) modos de operacin;
g) comportamiento a la hora de detectar un fallo;
h) requisitos para desactivacin manual;
i) requisitos de software de aplicacin;
j) medida de fiabilidad SIL y especfica
k) ciclo de servicio y vida til;
l) condiciones medioambientales probables de encontrar;
m) lmites CEM;
n) limitaciones debido a CCF.
Ver IEC 61511-1, 10.3 para requisitos completos.
I/P 4. Diseo e
ingeniera
O/P
15
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Las entradas, las salidas y las actividades asociadas con la fase 7 (Modificacin) son
esencialmente las mismas que las asociadas con la fase 8 (Desmantelamiento). De hecho,
el desmantelamiento es una modificacin que tiene lugar al final del ciclo de vida que se
inicia con los mismos controles y que se controla con los mismos dispositivos de
seguridad (Figura 6).
16
MANUAL DE SEGURIDAD DE PROCESOS 1
Ciclo de vida de seguridad general
17
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
18
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificacin de peligros
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 8.1, es determinar:
19
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
3.2. Peligros
20
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificacin de peligros
21
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Ventilador de
enfriamiento
Intercambiador
de calor
Suministro de
enfriamiento
Depsito
Bomba
La finalidad del diseo de esta pequea seccin de la planta podra ser hacer circular de
forma continua agua de enfriamiento a una temperatura de X C y a una tasa de XXX
litros/hora. Normalmente, los estudios HAZOP se dirigen a esta finalidad del diseo de
nivel bajo. El uso de la palabra desviacin resulta ahora ms sencillo de comprender.
Una desviacin o divergencia respecto a la finalidad del diseo en el caso de nuestras
instalaciones de enfriamiento de agua sera la reduccin del flujo de circulacin o el
aumento de la temperatura del agua.
En este ejemplo, el aumento en la temperatura del agua sera el peligro, ya que tendra el
potencial de ocasionar daos como, por ejemplo, lesiones personales, efectos nocivos en
el medio ambiente o perjuicios al negocio.
22
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificacin de peligros
El estudio HAZOP se lleva a cabo en un foro de encuentro entre las partes interesadas con
conocimientos y experiencia suficientes sobre el funcionamiento y el mantenimiento de
la planta. La reunin es una sesin de tormenta de ideas estructurada, en la que se
utilizan palabras gua para estimular ideas acerca de cules podran ser los peligros. En el
acta de la reunin se registran los temas de discusin y se rene la informacin acerca de
peligros potenciales, sus causas y sus consecuencias.
Es importante que el equipo del estudio HAZOP est formado por personal que aporte al
estudio el mejor equilibrio entre conocimientos y experiencia, teniendo en cuenta el tipo
de planta. Un equipo del estudio HAZOP tpico est formado del siguiente modo:
Nombre Puesto
Los siguientes elementos deben estar a disposicin del equipo del estudio HAZOP para
consultarlos:
23
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En el proceso del estudio HAZOP se utilizan palabras gua para centrar la atencin del
equipo en las desviaciones respecto a la finalidad del diseo, sus posibles causas y
consecuencias. Estas palabras gua se dividen en dos subgrupos:
La tcnica completa depende del uso efectivo de estas palabras gua, as que el equipo
debe comprender con claridad su significado y su uso.
Debe tenerse en cuenta que las palabras gua se utilizan simplemente para estimular
la imaginacin sobre lo que podra ocurrir. No todas las palabras gua tendrn mucho
sentido; no todos los peligros sern crebles. En estos casos, se recomienda que en caso
de que el equipo identifique eventos sin mucho sentido o no crebles, se registren como
tales y el equipo no pierda tiempo en continuar con su trabajo.
24
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificacin de peligros
Para hacerlo se debe considerar cada uno de los modos de funcionamiento especificados en
el alcance, como ejercicio independiente y produciendo un anlisis HAZOP independiente
para cada uno. Como alternativa, en el caso de sistemas relativamente sencillos, puede
incluirse una columna adicional en las hojas de trabajo para identificar el modo. De este
modo un solo anlisis HAZOP puede considerar todos los modos de funcionamiento.
Existen herramientas de software disponibles para guiarle a lo largo del proceso del
estudio HAZOP. Como alternativa puede elaborarse una sencilla hoja de clculo, para
registrar los debates y los resultados. Las hojas de clculo permiten realizar de forma
sencilla la clasificacin y la categorizacin, a la vez que proporcionan visibilidad y facilidad
de rastreo entre las diferentes entradas, de modo que se puedan mantener referencias
cruzadas con otros anlisis.
Adems de lo anterior, con frecuencia se utilizan las palabras secundarias Todo y Resto.
Por ejemplo, determinadas combinaciones de palabras gua primarias pueden identificarse
como representantivas de causas crebles (por ejemplo, Flujo/No Flujo/Retroceso. En el caso
de otras combinaciones (Flujo/Menos, Flujo/Ms, Flujo/Otro), en las que no pueden utilizarse
causas crebles, puede utilizarse la combinacin Flujo/Resto.
3.6.7. Identificacin de peligros Encabezados de las hojas de trabajo del estudio HAZOP
En la siguiente tabla se presenta un ejemplo de hoja de trabajo del estudio HAZOP para
la cmara de descompresin. Tenga en cuenta que se trata de un ejemplo meramente
figurativo que no est pensado para ilustrar el sistema real.
Referencia
Siempre vale la pena incluir una columna de referencia de modo que pueda hacerse
referencia a cada entrada desde otros anlisis, lo que hace posible tambin la facilidad
de rastreo para un anlisis posterior (por ejemplo, un LOPA [8]).
Palabras gua
25
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Desviacin
La desviacin es la divergencia respecto a la finalidad del diseo iniciada por las palabras
gua primarias y secundarias, y representa el peligro identificado.
Causa
Consecuencia
Las consecuencias que podran surgir del efecto de la desviacin y, si resulta apropiado,
de la propia causa. Siempre sea explcito al registrar las consecuencias. No d por hecho
que el lector comprender ms adelante cul es el peligro o cmo se desarrollarn las
consecuencias.
Dispositivos de seguridad
En esta columna se registran todos los dispositivos de proteccin existentes que ya sea
eviten la causa o que protejan contra las consecuencias. Es necesario que los dispositivos
de seguridad no se limiten al hardware; si resulta adecuado, pueden contabilizarse
aspectos de procedimiento tales como inspecciones regulares de la planta (si est seguro
de que realmente se realizan Y de que pueden actuar como prevencin o proteccin).
26
MANUAL DE SEGURIDAD DE PROCESOS 1
Peligros e identificacin de peligros
PT102
P
Importacin
lquido
XV102 Exportacin
gas
FCV102
LH
LH101
TT100
T LL
LL101 Exportacin
lquido
XV101
FCV100 XV100
Quemador
Suministro
gas combustible
FCV100
27
Ref. Palabra gua Palabra gua Desviacin Peligro Consecuencia
primaria secundaria
01.01 Flujo Ms Flujo elevado de lquido de proceso Un flujo elevado en la cmara puede dar lugar Los daos del equipo en la rama descendente requieren la sustitucin
en la cmara. a un nivel elevado, con arrastre de lquido a la de la cmara valorada en 10M y una interrupcin del proceso de
exportacin de gas. 6 meses.
01.02 Flujo elevado del lquido de proceso fuera Un flujo elevado desde la cmara puede dar lugar a un Los daos del equipo en la rama descendente requieren la limpieza de la cmara
desde la exportacin de lquido de la cmara. nivel bajo, fuga de gas en la exportacin de lquido. valorada en 2M y una interrupcin del proceso de 6 semanas.
01.03 Flujo elevado de gas hacia fuera desde Ningn peligro creble Ninguna.
la exportacin de gas de la cmara.
01.04 Menos Flujo bajo de lquido de proceso Un flujo bajo hacia la cmara puede dar lugar a un nivel Los daos del equipo en la rama descendente requieren la limpieza de la cmara
en la cmara. bajo, fuga de gas en la exportacin de lquido. valorada en 2M y una interrupcin del proceso de 6 semanas.
01.05 Flujo bajo del lquido de proceso Un flujo bajo desde la cmara puede dar lugar Los daos del equipo en la rama descendente requieren la sustitucin
fuera desde la exportacin de a un nivel elevado, con arrastre de lquido a la de la cmara valorada en 10M y una interrupcin del proceso de
lquido de la cmara. exportacin de gas. 6 meses.
01.06 Flujo bajo de gas hacia fuera desde la Ningn peligro creble Ninguna.
exportacin de gas de la cmara.
01.07 Retroceso No creble. Ningn peligro creble Ninguna.
01.08 Tambin No creble. Ningn peligro creble Ninguna.
01.09 Otro No creble. Ningn peligro creble Ninguna.
01.10 Presin Ms Presin elevada en la cmara. Rotura de la cmara y liberacin del gas. La liberacin del gas prende en el quemador y las superficies calientes.
3.7.2. HAZOP de la cmara separadora
01.11 Menos Presin baja en la cmara. Rotura de la cmara y liberacin del gas. La liberacin del gas prende en el quemador y las superficies calientes.
28
Posiblemente dos vctimas entre el personal de mantenimiento. Los daos
MANUAL DE SEGURIDAD DE PROCESOS 1
01.16 Menos Temperatura baja en la cmara. Congelacin potencial del lquido (solidificacin), Los daos del equipo requieren la sustitucin de la cmara valorada
rotura de la cmara y prdida de contencin. en 10M y una interrupcin del proceso de 6 meses. Emisiones al
medio ambiente que requieren notificacin.
01.17 Retroceso No creble. Ningn peligro creble Ninguna.
01.18 Tambin No creble. Ningn peligro creble Ninguna.
01.19 Otro No creble. Ningn peligro creble Ninguna.
01.20 Nivel Ms Nivel elevado en la cmara. Un nivel elevado en la cmara puede dar lugar a Los daos del equipo en la rama descendente requieren la sustitucin
arrastre de lquido en la exportacin de gas. de la cmara valorada en 10M y una interrupcin del proceso de
6 meses.
01.21 Menos Nivel bajo en la cmara. Un nivel bajo en la cmara puede dar lugar a fuga Los daos del equipo en la rama descendente requieren la limpieza de la cmara
Seguridad funcional en la industria de proceso
Peligro Consecuencia
Un nivel bajo en la cmara Los daos al equipo en la rama descendente requieren limpieza de la
puede dar lugar a fuga de cmara, valorada en 2M, e interrupcin del proceso de 6 semanas.
gas a la exportacin de
lquido.
Una presin baja causa Gas liberado prende en el quemador y en superficies calientes.
la rotura de la cmara y Posiblemente dos vctimas del personal de mantenimiento.
la liberacin de gas. Daos al equipo requieren sustituir la cmara, valorada en 10M, e
interrupcin del proceso de 1 ao. Emisin leve al medio ambiente.
29
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Un riesgo es la posibilidad de que un peligro cause un efecto adverso que pueda medirse.
Se trata, por lo tanto, de un concepto con dos partes y, para que tenga sentido, es
necesario contar con ambas partes. Las posibilidades pueden expresarse de diferentes
formas como, por ejemplo, una probabilidad: 1 caso de cada 1000; como frecuencia o
tasa: 1000 casos al ao; o de forma cualitativa: insignificantes o significativas.
4
Probabilidad de
Media Crtica
que ocurra
2
Baja Alta
1
1 2 3 4
Gravedad de la consecuencia
Figura 10: Matriz de riesgos
30
MANUAL DE SEGURIDAD DE PROCESOS 1
Riesgo y reduccin de riesgos
probabilidad de suceso es baja, el riesgo podra considerarse Alto. Por lo general, una
oportunidad remota de que se produzca un evento catastrfico debera requerir mayor
atencin que una molestia menor que se da con frecuencia.
Hasta ahora, los ejemplos de riesgos estn relacionados nicamente a la seguridad del
personal, pero no existe ninguna razn para no adoptar el mismo enfoque con riesgos
medioambientales, al negocio en trminos de riesgos a un activo o a la capacidad de
obtener ingresos o incluso a la reputacin de una empresa, adems de para la seguridad
en lo que respecta a los problemas de suministro que pueden afectar a las empresas de
generacin energtica.
A primera vista, puede llevarse a cabo una evaluacin de riesgos como parte del HAZOP,
lo que se conoce como anlisis de peligro (HAZAN). Como se muestra en la Figura 10,
cada peligro puede categorizarse en trminos de su gravedad (normalmente del 1 al 4,
siendo el 4 el ms grave) y de su probabilidad de suceso, o frecuencia (del 1 al 4, siendo
el 4 el ms probable).
Eliminar la causa del peligro es siempre la solucin preferida. nicamente cuando no sea
factible, se debe considerar la opcin de mitigar las consecuencias.
En las hojas de trabajo del HAZOP se identifican asimismo acciones para investigar a
mayor profundidad. En este ejemplo se identificaron las siguientes acciones.
31
Ref. Desviacin Peligro Consecuencia Dispositivos de Accin
Cat. grav. Cat. frec. RPN
seguridad
01.01 Flujo elevado de lquido de Un flujo elevado en la cmara puede dar Los daos del equipo en la rama descendente requieren la sustitucin Control de nivel. Considerar la instalacin
proceso en la cmara. lugar a un nivel elevado, con arrastre de de la cmara valorada en 10M y una interrupcin del proceso de 3 2 6 de una alarma de nivel
lquido a la exportacin de gas. 6 meses. elevado.
01.02 Flujo elevado del lquido de proceso fuera Un flujo elevado desde la cmara puede dar Los daos del equipo en la rama descendente requieren la limpieza de la cmara Control de nivel. Considerar la instalacin
desde la exportacin de lquido de la cmara. lugar a un nivel bajo, fuga de gas en el lquido. valorada en 2M y una interrupcin del proceso de 6 semanas. 2 1 2 de una alarma de nivel bajo.
01.03 Flujo elevado de gas hacia fuera desde la Ningn peligro creble Ninguna. Ninguna.
exportacin de gas de la cmara.
01.04 Flujo bajo de lquido de proceso Un flujo bajo hacia la cmara puede dar lugar Los daos del equipo en la rama descendente requieren la limpieza de la cmara Control de nivel. Considerar la instalacin
en la cmara. a un nivel bajo, fuga de gas en el lquido. valorada en 2M y una interrupcin del proceso de 6 semanas. 2 2 4 de una alarma de nivel bajo.
01.05 Flujo bajo del lquido de proceso Un flujo bajo desde la cmara puede dar Los daos del equipo en la rama descendente requieren la sustitucin Control de nivel. Considerar la instalacin
fuera desde la exportacin de lugar a un nivel elevado, con arrastre de de la cmara valorada en 10M y una interrupcin del proceso de 3 1 3 de una alarma de nivel
lquido de la cmara. lquido a la exportacin de gas. 6 meses. elevado.
01.06 Flujo bajo de gas hacia fuera desde la Ningn peligro creble Ninguna. Ninguna.
exportacin de gas de la cmara.
32
01.11 Presin baja en la cmara. Rotura de la cmara y liberacin del La liberacin del gas prende en el quemador y las superficies calientes. Control de presin. Considerar la instalacin
MANUAL DE SEGURIDAD DE PROCESOS 1
gas. Posiblemente dos vctimas entre el personal de mantenimiento. Los daos de una alarma de nivel
del equipo requieren la sustitucin de la cmara valorada en 10M y una 4 1 4 bajo.
interrupcin del proceso de 1 ao. Emisin leve al medio ambiente.
01.16 Temperatura baja en la cmara. Congelacin potencial del lquido Los daos del equipo requieren la sustitucin de la cmara valorada Control de temperatura. Considerar la instalacin
(solidificacin), rotura de la cmara y en 10M y una interrupcin del proceso de 6 meses. Emisiones al 3 1 3 de una alarma de
prdida de contencin. medio ambiente que requieren notificacin. temperatura baja.
01.17 No creble. Ningn peligro creble Ninguna. Ninguna.
01.18 No creble. Ningn peligro creble Ninguna. Ninguna.
01.19 No creble. Ningn peligro creble Ninguna. Ninguna.
01.20 Nivel elevado en la cmara. Un nivel elevado en la cmara puede Los daos del equipo en la rama descendente requieren la sustitucin Control de nivel. Considerar la instalacin
dar lugar a arrastre de lquido en la de la cmara valorada en 10M y una interrupcin del proceso de 3 2 6 de una alarma de nivel
exportacin de gas. 6 meses. elevado.
01.21
Seguridad funcional en la industria de proceso
Nivel bajo en la cmara. Un nivel bajo en la cmara puede dar lugar a Los daos del equipo en la rama descendente requieren la limpieza de la cmara Control de nivel. Considerar la instalacin
fuga de gas en la exportacin de lquido. valorada en 2M y una interrupcin del proceso de 6 semanas. 2 1 2 de una alarma de nivel bajo.
01.10 Rotura de la cmara y Posibles vctimas del Considerar la J Jones Process 21/04/12
liberacin de gas. personal de instalacin de una Dept
mantenimiento. Daos alarma de presin
al equipo. Emisiones al elevada.
medio ambiente.
01.11 Rotura de la cmara y Posibles vctimas del Considerar la J Jones Process 21/04/12
liberacin de gas. personal de instalacin de una Dept
mantenimiento. Daos alarma de presin
al equipo. Emisiones al baja.
medio ambiente.
33
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La tabla resultante permite de este modo categorizar los riesgos de muy bajos (VL),
bajos (L), medios (M), altos (H) a muy altos (VH), de acuerdo a la categora de gravedad
y a la frecuencia.
34
Verosimilitud
Gravedad A B C D E F G H
Catastrfica
6 VL L M H VH VH VH VH
10 -6/ao
Grave
5 VL L M H VH VH VH
10 -5/ao
Importante
35
4 VL L M H VH VH
10 -4/ao
Moderado
3 VL L M H VH
10 -3/ao
Menor
2 VL L M H
10 -2/ao
Incidente
1 VL L M
10 -1/ao
<10 -6 /ao
10 -6 10 -5/ao
10 -5 10 -4/ao 10 -4 10 -3/ao 10 -3 10 -2/ao 10 -2 10 -1/ao 10 -1 1/ao >1/ao
Riesgo y reduccin de riesgos
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Claramente los riesgos que son muy altos resultan obviamente inaceptables (por ejemplo,
fumar al estar embarazada) y en otras situaciones en las que el riesgo es tan bajo que
resulta insignificante (por ejemplo, hervir leche). Por supuesto, el rea de discusin ms
interesante es la zona intermedia de riesgo tolerable. La tarea es, por lo tanto, definir las
dos condiciones lmite:
En el caso de la poblacin general que est sometida a riesgos, este lmite est
considerado en un orden de magnitud inferior a 1 en 10,000 al ao.
36
MANUAL DE SEGURIDAD DE PROCESOS 1
Riesgo y reduccin de riesgos
rea rea
no aceptable no aceptable
10-3 pa 10-4 pa
Riesgo creciente
Riesgo creciente
rea rea
tolerable tolerable
10-6 pa 10-6 pa
rea rea
ampliamente ampliamente
aceptable aceptable
Al determinar el riesgo cuantitativo que presentan los peligros identificados en, digamos,
un HAZOP, es necesario establecer criterios de riesgo cuantitativo y tener en cuenta otros
peligros laborales a los que un individuo estar expuesto durante su jornada laboral. No
es irrazonable suponer que un individuo pueda estar expuesto a unos 10 peligros de
dicho tipo. La tolerabilidad de los criterios de riesgo (Figura 12) puede entonces
distribuirse entre estos 10 peligros, obteniendo un riesgo individual mximo tolerable de
fallecimiento de 1 en 10,000 al ao (Figura 13).
37
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
38
MANUAL DE SEGURIDAD DE PROCESOS 1
Riesgo y reduccin de riesgos
El resumen de tolerabilidad del riesgo (Figura 15) puede representarse en forma grfica,
tal y como se muestra en la Figura 16.
Mltiples
vctimas
Riesgo mximo
tolerable
empleado
Gravedad de la consecuencia
Riesgo mximo
tolerable
poblacin general
Una
vctima
Lesiones
Riesgo insignificante
39
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Los requisitos de los niveles de integridad de seguridad (SIL) derivan de las frecuencias
posibles de eventos peligrosos. En funcin de las consecuencias de un peligro, se
establece una frecuencia mxima tolerable y una funcin de seguridad diseadas para
reducir la frecuencia a un nivel tolerable.
40
MANUAL DE SEGURIDAD DE PROCESOS 1
Principio ALARP
5. Principio ALARP
5.1. Beneficios y sacrificios
As, la demostracin de que se han reducido los riesgos de acuerdo al principio ALARP
implica una evaluacin de:
Este proceso puede abarcar diferentes grados de rigor, que dependen de:
41
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
5.2. Desproporcionalidad
En el caso de muchas decisiones en las que interviene el principio ALARP, la HSE no espera
que los responsables a cargo lleven a cabo un anlisis de coste-beneficio detallado, sino
que puede bastar una sencilla comparacin de costes a beneficios.
42
MANUAL DE SEGURIDAD DE PROCESOS 1
Principio ALARP
Entre los costes justificables que pueden tenerse en cuenta en un anlisis de coste-
beneficio se incluyen:
Instalacin;
Funcionamiento;
Formacin;
Todo mantenimiento adicional;
Prdidas comerciales derivadas de cualquier interrupcin ocasionada con el
nico propsito de introducir la medida;
Intereses derivados de produccin postergada; por ejemplo, petrleo o gas
restante en un campo petrolfero/de gas mientras se llevan a cabo trabajos en
una plataforma;
Todos los costes declarados deben ser aquellos en que haya incurrido el
responsable a cargo (no se tendrn en cuenta los costes en que hayan incurrido
las dems partes, por ejemplo, la poblacin general);
Los costes que deben considerarse deben ser nicamente aquellos
necesarios para implementar la medida de reduccin de riesgos (sin aadir
funcionalidades costosas e innecesarias ni adoptando medidas de lujo).
Fallecimientos evitados;
Lesiones evitadas (de ms graves a menos graves);
Enfermedades evitadas;
Daos medioambientales evitados, si son relevantes (por ejemplo, COMAH).
Entre los beneficios declarados puede incluirse asimismo la elusin del despliegue de
servicios de emergencia y la elusin de contramedidas como la evacuacin y la
descontaminacin posterior al accidente, si se estimara oportuno. No obstante, para
comparar los beneficios de implementar una mejora de seguridad contra los costes
asociados, la comparacin debe establecerse sobre una base comn. Un mtodo sencillo
para llevar a cabo un primer filtro de medidas es indicar los costes y los beneficios en un
formato comn de al ao durante la vida til de una planta.
43
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En la Tabla 1 se muestran algunos de los valores monetarios tpicos que pueden utilizarse.
5.5. Ejemplo
20 vctimas mortales;
40 personas con lesiones permanentes;
100 heridos graves;
200 heridos leves.
44
MANUAL DE SEGURIDAD DE PROCESOS 1
Principio ALARP
Para que una medida se considere no razonablemente practicable, el coste debe ser
excesivamente desproporcionado con respecto a los beneficios. En este caso, el factor
de desproporcin refleja que las consecuencias de explosiones de ese tipo son altas. Es
improbable obtener un factor de desproporcin de ms de 10 y, por lo tanto, resultara
razonablemente prctico gastar hasta unos 93,000 (9300 x 10) para eliminar el riesgo
de una explosin. El responsable a cargo tendra que justificar el uso de un factor de
desproporcin menor.
Puede utilizarse este tipo de anlisis sencillo para eliminar o incluir determinadas medidas
costeando varios mtodos alternativos de eliminacin o de reduccin de riesgos.
Enfoque alternativo
Normalmente, las organizaciones emplean un coste por objetivo de vida salvada (o valor
de prevencin de un fallecimiento estadstico (VPF).
El coste derivado de evitar vctimas mortales durante la vida til de la planta se compara
al valor de prevencin de un fallecimiento estadstico objetivo.
45
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
5.6. Ejemplo
En una industria en particular se utiliza un coste por objetivo de vida salvada de 2M. Se
ha establecido un objetivo de riesgo tolerable mximo de 10-5 por ao para un peligro
especfico, con una posibilidad de ocasionar 2 vctimas mortales.
Respuesta: El nmero de vidas salvadas durante la vida til de la planta viene dado por:
El VPF calculado es > 10 veces el criterio de coste objetivo vida salvada de 2M y, por lo
tanto, la propuesta debe rechazarse.
46
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
Por ejemplo, supongamos que en nuestra fbrica tenemos una media de 1 incendio
cada 2 aos y que, de no hacer nada ms, dicho incendio provocara vctimas mortales.
Podramos dibujar un diagrama de la frecuencia de vctimas mortales (Figura 17); dicha
frecuencia sera de 0.5/ao.
Conlleva
vctima(s)
Riesgo inherente
al proceso
Fuego fbrica
Frecuencia
peligro
Uno cada 2 aos
Frecuencia de letalidad
Figura 17: Frecuencia de mortalidad
47
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En este caso, es fundamental que, al estudiar las consecuencias del incendio, no tomemos
en cuenta las medidas de seguridad existentes que puedan haberse instalado. Se buscan
las consecuencias en el peor de los casos.
Si posteriormente se instala una alarma de humo que, dijramos, funcionara 9 veces de
cada 10, se esperara una vctima mortal en la nica ocasin, de 10 incendios, en que se
produjera un fallo de funcionamiento de la alarma a demanda. En este caso, la frecuencia
de vctimas mortales se reducira de 1 cada 2 aos a 1 cada 20 aos.
Conlleva
vctima(s)
Riesgo inherente
al proceso
La alarma de humo
funciona 9 de cada 10 veces
Fuego fbrica
Frecuencia
peligro
Uno cada 20 aos Uno cada 2 aos
Frecuencia de letalidad
Figura 18: Frecuencia de mortalidad reducida
48
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
Conlleva
vctima(s)
Nivel de riesgo Riesgo inherente
tolerable al proceso
Intervalo de riesgo
10-4/ao 1/ao
Frecuencia peligro
Figura 19: Intervalo de riesgo
Podemos entonces contabilizar los dispositivos de seguridad que pueden ya existir para
reducir la frecuencia del peligro, como por ejemplo una alarma (Figura 20). En este caso, la
alarma reduce la frecuencia de la consecuencia del peligro mediante su probabilidad de
fallo a demanda (PFD). Por lo tanto se reduce el intervalo de riesgo, pero el riesgo residual
general, a pesar de ser menor, sigue siendo mayor que el riesgo mximo tolerable.
49
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Conlleva
vctima(s)
Nivel de riesgo Riesgo inherente
tolerable al proceso
PFD = 0.1
Alarmas
Intervalo de riesgo
Conlleva
vctima(s)
Nivel de riesgo Riesgo Riesgo inherente
tolerable intermedio al proceso
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
50
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
Conlleva
vctima(s)
Riesgo Nivel de riesgo Riesgo Riesgo inherente
residual tolerable intermedio al proceso
PFD <0.1 PFD = 0.1 PFD = 0.1 PFD = 0.1
51
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
SIS
Sistema instrumentado
de seguridad
Proceso
Suministro
hidrulico Lgica
ESD
Vlvula
Purga Transmisor
solenoide
hidrulica de presin
S
PT
Controlador
de presin
PC
Entrada Exportacin
gasoducto gasoducto
Vlvula Vlvula
cierre control presin
52
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
Vlvula
Purga Transmisor
solenoide
hidrulica de presin
S
PT
Proceso y BPCS
Controlador
de presin
PC
Entrada Exportacin
gasoducto gasoducto
Vlvula Vlvula
cierre control presin
53
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
A menudo resulta confuso que el transmisor de presin que forma parte de una funcin
de seguridad proporcione supervisin continua de la presin del proceso, lo que no
excluye de funcionar en modo a demanda. El trmino modo a demanda est relacionado
con la frecuencia de las demandas de accin ejecutiva (por ejemplo, la frecuencia de
episodios de alta presin).
Sistema de
administracin
de quemadores
TT TE TE TT
001 002 003 004
TE TT TE XY
S
405 406 405 101
Aire de combustin
TY
S
102
XY
S
Regulador 101
HC
201
HC
202
Gas principal Gas combustible
XY
S
104
54
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
Entre las funciones de seguridad en modo continuo se incluye normalmente los sistemas
de gestin de quemadores y de control de turbinas.
IEC 61511-1, 9.2.4 agrupa los objetivos de probabilidad de fallo a demanda en bandas o
niveles de integridad de seguridad (SIL). En el ejemplo anterior [6.3], contamos con un
objetivo de probabilidad de fallo a demanda de <10-1 para nuestra funcin de seguridad,
lo que da como resultado un requisito SIL1, como se muestra en la Tabla 2.
10-4 a <10-3 3
-3
10 a <10 -2 2
10-2 a <10-1 1
55
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
10-8 a <10-7 3
10-7 a <10-6 2
-6 -5
10 a <10 1
10-4 a <10-3 3
10-3 a <10-2 2
-2
10 a <10 -1 1
56
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
57
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En la Tabla 3 se confirma que los objetivos del modo continuo son la probabilidad de fallo
peligroso por hora.
Por lo tanto, el sistema de seguridad debe presentar una probabilidad de fallo a demanda
de:
= 10-4 al ao/1.67 x 10-3 al ao
= 6.0 x 10-2, que equivale a un SIL1.
58
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
Controlador
Caldera temperatura
Calentador - TT
Potencia
Salida de
Calentador proceso
Entrada de
Caldera
proceso
59
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
6.11.2. Ejemplo
Suponga que hemos diseado el proceso de nuestra caldera y calculado su tasa de fallo
para que sea de 5.0 x 10-2 al ao, lo que supera ampliamente el objetivo de 4.0 x 10-3 al
ao.
Si ste fuera el caso y 1 de cada 400 fallos produjera una vctima mortal, la frecuencia de
mortalidad sera de:
Un enfoque alternativo podra ser dejar que la caldera fallara a esta tasa
insatisfactoriamente elevada, y disear una funcin de seguridad en modo a demanda
para reducir la frecuencia de mortalidad hasta la tasa mxima tolerable (Figura 28).
ESD
Rel
Controlador
Caldera temperatura
Transmisor de
Calentador TT TT
temperatura
Potencia
Salida de
Calentador proceso
Entrada de
Caldera
proceso
60
MANUAL DE SEGURIDAD DE PROCESOS 1
Determinacin de objetivos del SIL
10-5 al ao B x PFDT
Por tanto:
Nota: estos dos ejemplos nos ofrecen la posibilidad de disear el sistema de la caldera en
su conjunto y el equipamiento bajo control, a SIL2, o podemos dejar que el sistema de la
caldera falle y protegerlo con una funcin de seguridad en modo a demanda SIL1. Ambas
opciones cumplen el objetivo de riesgo mximo tolerable, pero el hecho de disear un
sistema SIL1 en modo a demanda de dimensiones reducidas es una opcin ms rentable
en comparacin con un sistema de control de la caldera SIL2.
61
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
7. Diagramas de riesgos
7.1. Introduccin
En los apartados [6.10] y [6.11] se presenta un mtodo para determinar los objetivos de
nivel de integridad de seguridad mediante clculos; no obstante, los diagramas de riesgos
suponen una alternativa til, especialmente cuando hay numerosos peligros que analizar.
El mtodo del diagrama de riesgos es una tcnica til de seguimiento rpido que puede
aplicarse cuando hay numerosos peligros que analizar.
W3 W2 W1
Ca
Lesin a -- --
importante
Posible 1 a --
de evitar Pa
Exposicin rara
Fa
Cb Improbable
Lesin grave, de evitar Pb
una vctima 2 1 a
Exposicin Posible
frecuente Fb de evitar Pa
Exposicin rara
Inicio Fa
Improbable
Cc de evitar Pb
Varias 3 2 1
Posible
vctimas
Exposicin frecuente de evitar Pa
Fb
Improbable
Exposicin rara
de evitar Pb
Fa 4 3 2
Cd
Posible
Muchas
de evitar Pa
vctimas Exposicin frecuente
Fb
Improbable 5 4 3
de evitar Pb
Figura 29: Diagrama tpico de riesgos
Desde el punto de partida, en primer lugar se determinan las consecuencias del peligro:
Ca, Cb, Cc o Cd.
A continuacin, debe calcularse la frecuencia o la exposicin de la persona ms
sometida al riesgo derivado del peligro y elegir entre Fa, exposicin poco frecuente, o
Fb, exposicin frecuente. Normalmente, si la persona ms sometida al riesgo tiene una
probabilidad de encontrarse dentro del rango de alcance de los efectos peligrosos, del
10% o menos, puede seleccionarse la exposicin poco frecuente. En caso contrario, la
exposicin se puede considerar frecuente.
Desplazndonos por el diagrama de riesgos, si la persona sometida al riesgo tiene la
posibilidad de poder evitar el peligro, por ejemplo, escapando, siendo avisada o siendo
protegida por alguna funcin, enotnces podemos decir que es posible evitar el peligro y
62
MANUAL DE SEGURIDAD DE PROCESOS 1
Diagramas de riesgos
W3 W2 W1
Ca
Lesin a -- --
importante
Posible 1 a --
de evitar Pa
Exposicin rara
Fa
Cb Improbable
Lesin grave, de evitar Pb
una vctima 2 1 a
Exposicin frecuente Posible
Fb de evitar Pa
Exposicin rara
Inicio Fa
Improbable
Cc de evitar Pb
Varias 3 2 1
Posible
vctimas
Exposicin frecuente de evitar Pa
Fb
Improbable
Exposicin rara
de evitar Pb
Fa 4 3 2
Cd
Posible
Muchas
de evitar Pa
vctimas Exposicin frecuente
Fb
Improbable 5 4 3
de evitar Pb
En este ejemplo, la funcin de seguridad podra ser un activacin de nivel alto que cierra
la vlvula de admisin del tanque. Esto tendra un objetivo SIL1.
63
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Tasa de demanda
Gravedad de la Exposicin del Alternativas para
Media
Lesin menor
-- -- --
Inhibicin posible
Exposicin baja 1 -- --
Lesin grave o Inhibicin no probable
una vctima 2 1 --
Inhibicin posible
Exposicin alta 2 1 1
Inhibicin no probable
3 2 1
Exposicin baja
Mltiples vctimas 3 3 2
Exposicin alta
NR 3 3
Catastrfica
NR NR NR
-- = No se requieren caractersticas especiales de seguridad
NR = No recomendado Categoras de requisitos
Alto = 0.5 5 pa
Medio = 0.05 0.5 pa
Bajo < 0.05 pa
Figura 31: Diagrama de riesgos en la industria de proceso
64
MANUAL DE SEGURIDAD DE PROCESOS 1
Diagramas de riesgos
Tasa de demanda
Gravedad de la Exposicin del Alternativas para
Media
consecuencia personal evitar el peligro
Baja
Alta
Lesin menor
-- -- --
Inhibicin posible
Exposicin baja 1 -- --
Lesin grave o Inhibicin no probable
una vctima 2 1 --
Inhibicin posible
Exposicin alta 2 1 1
Inhibicin no probable
3 2 1
Exposicin baja
Multiple Fatalities 3 3 2
Exposicin alta
NR 3 3
Catastrfica
NR NR NR
Categoras de requisitos
Figura 32: Ejemplo de uso del diagrama de riesgos
Una interpretacin menos cauta habra dado como resultado un objetivo SIL2.
7.4. Ejemplo
En la Figura 33 se muestra un ejemplo de una matriz de riesgos tpica. Las columnas P, A,
E y R ofrecen descripciones de las posibles consecuencias del peligro; las frecuencias de
suceso se describen en trminos cualitativos y los niveles de integridad de seguridad (SIL)
objetivo se ofrecen en los puntos en los que se alinean las filas y las columnas.
65
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
A D
P A E R <0.01/ao <0.05/ao <0.25/ao >2/ao >2/ao
Personas Patrimonio Medio Reputacin
ambiente A B C D E
Nunca Ha ocurrido Ha ocurrido Ocurre Ocurre
constatado en la en la varias veces/ varias veces/
en la industria empresa ao en la ao en las
industria empresa instalaciones
ste parece ser un enfoque sencillo y til, pero pueden producirse problemas potenciales
si no se tiene cuidado.
D: Para que los SIL objetivo aumenten por fila y por columna como lo hacen en la
Figura 33, las frecuencias de suceso tambin deberan aumentar tambin entre
cada columna en un orden de magnitud.
66
MANUAL DE SEGURIDAD DE PROCESOS 1
Diagramas de riesgos
E: El objetivo SIL de (SIL1) significa que se precisa cierta reduccin de riesgos, pero
que no existe un efecto consiguiente. No se precisa ninguna proteccin si no
existe un evento peligroso.
La matriz de riesgos requiere por lo tanto calibracin y se sugiere lo siguiente (Figura 34).
7.5. Resumen
Los diagramas de riesgos y las matrices de riesgos pueden resultar muy tiles, en
particular cuando se utilizan en una primera pasada como tcnica de seguimiento rpido
para descartar todo excepto los SIL ms elevados (por ejemplo, SIL2 y superiores). No
obstante, una cuidadosa calibracin de las tcnicas utilizadas debe evitar resultados
incorrectos obtenidos como resultado de algunos de los obstculos que se muestran
aqu.
67
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Es importante que el equipo del LOPA est compuesto por personal que aporte al estudio
el mejor equilibrio entre conocimientos y experiencia, de acuerdo al tipo de planta. Un
tpico equipo del LOPA se compone como sigue:
Nombre Puesto
68
MANUAL DE SEGURIDAD DE PROCESOS 1
Anlisis de capas de proteccin (LOPA)
Los siguientes elementos deben estar disponibles para que los revise el equipo del LOPA:
Para establecer los objetivos de nivel de integridad de seguridad (SIL) es posible utilizar
la tcnica del LOPA, tal y como se describe en el documento del Centro de Seguridad de
Procesos Qumicos del Instituto Americano de Ingenieros Qumicos (AIChE) Layer of
Protection Analysis, 2001 [19.4].
El LOPA considera los peligros identificados por otros medios, por ejemplo, un HAZOP,
pero puede llevarse a cabo como parte de una reunin HAZOP, realizando una evaluacin
de cada peligro a medida que se identifiquen.
El equipo del LOPA considera cada uno de los peligros identificados y documenta las
causas iniciadoras y las capas de proteccin que previenen o mitigan el peligro. Se
determina entonces la magnitud total de reduccin de riesgos y se analiza la necesidad
de llevar a cabo una reduccin de riesgos adicional. Si la proteccin adicional se
proporciona en forma de sistema instrumentado de seguridad, la metodologa permitira
determinar el nivel de integridad de seguridad apropiado y la probabilidad de fallo a
demanda necesaria.
El proceso del LOPA se registra en las hojas de trabajo del LOPA, que permiten cuantificar
los eventos iniciadores y sus frecuencias, junto con la reduccin de riesgos proporcionada
por las capas independientes de proteccin que deben declararse. En los siguientes
apartados se describen los encabezados de las hojas de trabajo y se presenta un ejemplo
de LOPA [8.5].
Si tomamos como ejemplo la cmara de presin [3.7], es posible importar los peligros
identificados a la hoja de trabajo del LOPA y analizar los riesgos.
69
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
8.6.1. Introduccin
8.6.4. Consecuencia
Describe las consecuencias del peligro. En el LOPA de ejemplo hemos analizado las
consecuencias del peligro en trminos de seguridad personal, riesgos al medio ambiente
y riesgos a los activos (es decir, riesgos comerciales).
70
MANUAL DE SEGURIDAD DE PROCESOS 1
Anlisis de capas de proteccin (LOPA)
Personas P1 1.0E-01 Tratamiento mdico al empleado o lesiones que Tratamiento mdico o lesiones que ocasionan
(seguridad) ocasionan restricciones de trabajo restricciones de trabajo (a terceros)
P2 1.0E-02 Accidente con tiempo perdido (LTA) del Accidente con tiempo perdido (LTA) (de
empleado sin efecto permanente terceros) sin efecto permanente
P4 1.0E-04 1 vctima entre los empleados y/o varios casos Efectos permanentes (a terceros)
de invalidez permanente
P5 1.0E-05 Varias vctimas entre los empleados (2 10) Una vctima de una tercera parte y/o muchos
casos de invalidez permanente
P6 1.0E-06 Muchas vctimas entre los empleados Varias vctimas entre terceras partes
(ms de 10)
Medio ambiente E1 1.0E-01 Sin notificacin a las autoridades, pero se Sin notificacin a las autoridades, pero se
requiere limpieza requiere limpieza mnima. (p. ej., derrame de
1 100 litros con kit desplegado)
E2 1.0E-02 Notificacin a las autoridades, pero sin Notificacin a las autoridades, pero sin
consecuencias medioambientales consecuencias medioambientales. (p. ej.,
derrame de > 100 litros en las instalaciones del
cliente aisladas/protegidas)
71
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
72
MANUAL DE SEGURIDAD DE PROCESOS 1
Anlisis de capas de proteccin (LOPA)
Por ejemplo, supongamos que un operario puede iniciar una sobrepresin en una tubera
cerrando una vlvula. Normalmente, el operario abre una vlvula de derivacin antes de
cerrar la vlvula principal y realiza esta accin todos los meses. La frecuencia base (B) de
esta actividad es, por lo tanto, de 12 al ao (una vez al mes).
Podemos suponer que el operario cuenta con buena formacin, que la tarea es rutinaria
y que el operario no se encuentra bajo presin, de modo que calculamos que la
probabilidad de que cometa un error, PE, como por ejemplo, que no abra primero la
vlvula de derivacin, sera de, digamos, 1%. La frecuencia del evento iniciador (INIT)
puede calcularse del siguiente modo:
INIT = B x PE
INIT = 12 x 1%/ao
INIT = 0.12/ao
73
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Un ejemplo de diseo de uso general sera una tubera con revestimiento, que
proporcionara cierta proteccin frente a una prdida de contencin. En este ejemplo,
no se ha contabilizado el diseo de uso general, puesto que no existen caractersticas
especficas del diseo que proporcionen reduccin de riesgos.
En este ejemplo, las capas de proteccin independientes declaradas en las columnas [e] a
[h] pueden personalizarse para que se adapten a la aplicacin. Se han presentado capas
de proteccin independientes tpicas.
Puede declararse una contabilizacin si un bucle de control del sistema bsico de control
de proceso (sistema de control distribuido o DCS) evita que ocurra el peligro como
resultado de una causa iniciadora potencial. En el ejemplo, en el caso de algunas de
causas iniciadoras (por ejemplo, un fallo de apertura de la vlvula XV102 de importacin
de lquido), el sistema bsico de control de proceso (sistema de control distribuido)
puede compensarlo al abrir la vlvula de exportacin de lquido y evitar as un nivel
elevado. Se ha declarado una probabilidad de fallo a demanda (PFD) de 0.1, lo que
significa que el sistema de control distribuido (DCS) evita que se produzcan
consecuencias en 9 de cada 10 eventos.
Una probabilidad de fallo a demanda (PFD) de 0.1 es, por lo general, la mayor reduccin
de riesgos que puede declararse en un sistema que no siga la clasificacin SIL. Esto se
debe a que el sistema de control distribuido (DCS) puede ajustarse manualmente; por
lo general no hay un control tan estricto sobre los ajustes de puntos de activacin y el
rgimen de prueba no es tan riguroso como en el caso de un sistema instrumentado de
seguridad (SIS).
74
MANUAL DE SEGURIDAD DE PROCESOS 1
Anlisis de capas de proteccin (LOPA)
Puede declararse contabilizacin de alarmas que son independientes del sistema bsico
de control de proceso (BPCS), avisan al operario y requieren una accin de su parte.
Solamente se puede declarar contabilizacin si la alarma es realmente independiente
del sistema bsico de control de proceso (BPCS) y de las funciones instrumentadas de
seguridad (SIF), y solo si el operario puede responder a la alarma y tomar accin para
hacer que el proceso resulte seguro, dentro del tiempo seguro del proceso.
Por lo general puede declararse una probabilidad de fallo a demanda (PFD) de 0.1 para
alarmas independientes. En este ejemplo no se ha declarado ninguna contabilizacin.
Fsica Las capas de mitigacin pueden ser barreras fsicas que protejan del
peligro una vez que se haya iniciado. Ejemplos seran dispositivos de alivio de
presin o muros cortafuego.
Accin del operario Puede declararse una contabilizacin de la deteccin y la
inspeccin a intervalos regulares, siempre y cuando el operario pueda adoptar
la accin adecuada.
75
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
PFD = MTR/HAZ
Tabla 7: Probabilidad de fallo a demanda (PFD) y tasas de fallo especificadas por el nivel de
integridad de seguridad (SIL)
Debe tenerse en cuenta que la probabilidad de fallo a demanda y la tasa de fallo de cada
nivel de integridad de seguridad dependen del modo de funcionamiento en que se
planee utilizar el sistema instrumentado de seguridad respecto a la frecuencia de las
demandas a la que est sometido [8.6.12].
76
ID/Ref. Zona Descripcin Consecuencia Categora Riesgo Causa iniciadora Verosimilitud Distribucin Probabilidad Diseo Capas independientes de proteccin Verosimilitud PDF SIL Comentarios/supuestos
Descripcin evento (peligro) gravedad mx. iniciadora del tamao de ignicin de uso de nivel requerida requerido
(pa) BPCS Alarmas Mitigacin Mitigacin
tolerable de fuga general adicional, intermedio de SRS de SRS
[DCS] indepen- adicional:
(pa) (clasifica- p. ej., muros del evento
dientes Ocupacin cortafuegos/
cin (pa)
(niveles procedimientos
diseo)
de personal) operacionales/
vlvulas de alivio
Fallo de PT102 y se
Seguridad: registra baja presin 8.58E-04 0.10 0.75 0.33 2.15E-05 Como arriba.
Una presin La liberacin
77
elevada causa del gas
1.10 Cmara la rotura de P5 1.00E-05 Como arriba excepto:
prende en el 1.87E-02 SIL1
la cmara y la quemador y Fallo de apertura de la [e] el DCS puede compensar
liberacin las superficies importacin de lquido 2.89E-03 0.10 0.75 0.10 0.33 7.23E-06 los fallos de la vlvula de
del gas. calientes. XV102. importacin.
Posiblemente Clculo PFD = 0.1.
dos vctimas
entre el Fallo de cierre de la
personal de exportacin de gas 1.01E-02 0.10 0.75 0.10 0.33 2.52E-05 Como arriba.
manteni- FCV102.
miento.
Fallo de cierre de la
exportacin de lquido 2.89E-03 0.10 0.75 0.10 0.33 7.23E-06 Como arriba.
XV102.
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.75 0.10 0.33 6.70E-06 Como arriba.
baja
5.34E-04
Anlisis de capas de proteccin (LOPA)
MANUAL DE SEGURIDAD DE PROCESOS 1
ID/Ref. Zona Descripcin Consecuencia Categora Riesgo Causa iniciadora Verosimilitud Distribucin Probabilidad Propsito Capas independientes de proteccin Verosimilitud PDF SIL Comentarios/supuestos
Descripcin evento (peligro) gravedad mx. iniciadora del tamao de general de nivel requerido
requerida
(pa) de fuga ignicin BPCS Alarmas inde- Mitigacin Mitigacin
tolerable Diseo adicional, intermedio de SRS de SRS
[DCS] pendientes adicional:
(pa) (clasifica- p. ej., muros del evento
Ocupacin cortafuegos/
cin (pa)
(niveles procedimientos
del diseo)
de personal) operacionales/
vlvulas de alivio
78
MANUAL DE SEGURIDAD DE PROCESOS 1
Fallo de PT102 y se
Medio registra baja presin 8.58E-04 0.10 8.58E-05 Como arriba.
Una presin ambiente:
elevada causa la Rotura de la
1.10 Cmara rotura de la E2 1.00E-02 Como arriba excepto:
cmara, escape Ninguna Ninguna [e] DCS puede compensar
cmara y la de gas, no hay Fallo de apertura de la
liberacin del ignicin. importacin de lquido 2.89E-03 0.10 0.10 2.89E-05 los fallos de la vlvula de
gas. Liberacin en XV102. importacin.
las instalaciones. Clculo PFD = 0.1.
Se requiere
limpieza y Fallo de cierre de la
notificacin a exportacin de gas 1.01E-02 0.10 0.10 1.01E-04 Como arriba.
las autoridades, FCV102.
pero sin
consecuencias
medioambien- Fallo de cierre de la
tales. exportacin de lquido 2.89E-03 0.10 0.10 2.89E-05 Como arriba.
XV102.
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.10 2.68E-05 Como arriba.
baja
2.14E-03
ID/Ref. Zona Descripcin Consecuencia Categora Riesgo Causa iniciadora Verosimilitud Distribucin Probabilidad Diseo Capas independientes de proteccin Verosimilitud PDF SIL Comentarios/supuestos
Descripcin evento (peligro) gravedad mx. iniciadora del tamao de ignicin de uso de evento requerida requerido
(pa) de fuga BPCS Alarmas inde- Mitigacin Mitigacin
tolerable general nivel inter- de SRS de SRS
[DCS] pendientes adicional: adicional,
(pa) (clasifica- p. ej., muros medio (pa)
Ocupacin
cin cortafuegos/
(niveles
diseo) procedimientos
de personal) operacionales/
vlvulas de alivio
[a] [b] [c] [d] [e] [f] [g] [h]
Fallo de PT102 y se
Comercial: registra baja presin 8.58E-04 0.10 0.75 6.44E-05 Como arriba.
79
Una presin Rotura de la
elevada causa cmara,
1.10 Cmara la rotura de la C5 1.00E-05 Como arriba excepto:
escape de gas, 6.24E-03 SIL2
cmara y la ignicin y Fallo de apertura de la [e] el DCS puede compensar
liberacin del daos al importacin de lquido 2.89E-03 0.10 0.75 0.10 2.17E-05 los fallos de la vlvula de
gas. patrimonio. XV102. importacin.
Clculo PFD = 0.1.
Los daos
del equipo Fallo de cierre de la
requieren exportacin de gas 1.01E-02 0.10 0.75 0.10 7.56E-05 Como arriba.
la sustitucin FCV102.
de la cmara
valorada en
10M y la Fallo de cierre de la
prdida de exportacin de lquido 2.89E-03 0.10 0.75 0.10 2.17E-05 Como arriba.
produccin de XV102.
1 ao
Fallo de TT100 y se
registra temperatura 2.68E-03 0.10 0.75 0.10 2.01E-05 Como arriba.
baja
1.60E-03
Anlisis de capas de proteccin (LOPA)
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
80
MANUAL DE SEGURIDAD DE PROCESOS 1
Asignacin de funciones de seguridad
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 9.1, es asignar
funciones de seguridad a las capas de proteccin.
Como entradas, esta fase precisa una descripcin en trminos de requisitos funcionales
de seguridad y requisitos de integridad de seguridad.
81
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
A partir del ejemplo de la cmara de separacin, 3.7.1, se identificaron los siguientes requisitos de
funciones instrumentadas de seguridad (SIF) y de nivel de integridad de seguridad (SIL) (Tabla 9). El
anlisis de peligro, referencia 1.10 se mostr como parte del ejemplo del LOPA [8.5]. El LOPA se habra
utilizado para determinar los objetivos de nivel de integridad de seguridad (SIL) y los objetivos de la
probabilidad de fallo a demanda (PFD) para el resto de peligros identificados.
1.01 Presin elevada causa Gas liberado prende en el quemador y en SIL2 6.24E-03
rotura de la cmara y superficies calientes. Posiblemente dos
liberacin de gas. vctimas del personal de mantenimiento.
Daos al equipo requieren sustituir la
cmara, valorada en 10M, e interrupcin
del proceso de 1 ao. Emisin leve al medio
ambiente.
1.11 Presin baja causa la Gas liberado prende en el quemador y en Ninguno Ninguno
rotura de la cmara y superficies calientes. Posiblemente dos
liberacin de gas. vctimas del personal de mantenimiento.
Daos al equipo requieren sustituir la
cmara, valorada en 10M, e interrupcin
del proceso de 1 ao. Emisin leve al medio
ambiente.
1.21 Nivel bajo en la cmara Daos al equipo en la rama descendente SIL1 6.22E-02
podra causar fuga de requieren limpieza de la cmara, valorada en
gas a la exportacin de 2M, e interrupcin del proceso de 6
lquido. semanas.
82
MANUAL DE SEGURIDAD DE PROCESOS 1
Asignacin de funciones de seguridad
La posibilidad intermedia del evento indicada por el LOPA determin que debera considerarse todas las
funciones instrumentadas de seguridad en modo a demanda. Se establecieron los objetivos SIL1 para el
nivel alto y el nivel bajo y se propusieron, por lo tanto, las siguientes funciones instrumentadas de seguri-
dad (SIF). Para mitigar la alta presin, se instal una vlvula de alivio de presin como buena prctica de
ingeniera y se estableci una funcin instrumentada de seguridad, tal y como se muestra a continuacin.
Funcin
instrumentada
de seguridad
L
LHH102 ESDV102
Funcin
instrumentada
de seguridad
L
LHH101 ESDV101
Funcin
instrumentada
de seguridad
P
PHH100 ESDV100
Figura 35a: Fase 2 del ciclo de vida
P
PHH100 ESDV100
Sistema
L instrumentado
de seguridad
LHH101 ESDV101
L
LHH102 ESDV102
83
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
PRV102 PT102
P
ESDV102 Exportacin
gas
Impor- XV102
tacin FCV102
L
lquido
SIS LHH102 LH
LH101
P
PHH100 LL
T LL101 Expor-
TT100 LL
tacin
LLL101 SIS lquido
ESDV101 XV101
FCV100 XV100 ESDV100
Quemador
Suministro
gas
combustible
FCV100
SIS
Figura 35c: Fase 2 del ciclo de vida
84
MANUAL DE SEGURIDAD DE PROCESOS 1
Especificacin de requisitos de seguridad para el SIS
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 10.1, es especificar
los requisitos de las funciones instrumentadas de seguridad (SIF).
10.2. Requisitos de integridad de seguridad de una funcin instrumentada de
seguridad (SIF)
El nivel de integridad de seguridad de cada funcin instrumentada de seguridad ha sido
seleccionado durante el estudio de determinacin del nivel de integridad de seguridad
mediante un diagrama de riesgos, un LOPA o una matriz de riesgos.
Esta informacin debe comunicarse entonces al equipo de diseo mediante la
especificacin de requisitos de seguridad para garantizar que el diseo cumpla los
requisitos de integridad de seguridad de las funciones instrumentadas de seguridad
85
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
86
MANUAL DE SEGURIDAD DE PROCESOS 1
Diseo e ingeniera del SIS
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 11.1, es:
87
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
88
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
Este apartado ofrece una breve introduccin a las tcnicas de fiabilidad. En ningn caso
se trata de un estudio integral sobre mtodos de ingeniera de fiabilidad, ni es de ningn
modo nuevo o poco convencional. Los mtodos que se describen en l son utilizados de
forma rutinaria por los ingenieros de fiabilidad.
12.2. Definiciones
Para facilitar la comprensin a continuacin figura una lista abreviada de trminos clave
junto con sus definiciones correspondientes. En muchos textos normales sobre el tema
se pueden encontrar definiciones de los trminos y nomenclatura ms completa.
Fallo, independiente Fallo que se produce sin que est ocasionado por el fallo de
ningn otro elemento. No dependiente.
89
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
90
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
91
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
92
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
El aumento de los fallos por desgaste puede deberse a razones sistemticas similares.
Los mecanismos de fallo pueden deberse a la degradacin de la fuerza como, por
ejemplo, la acumulacin de daos debidos a la fatiga. En electrnica, los mecanismos de
fallo dependientes del tiempo tienden a ser mecnicos por naturaleza e incluyen el fallo
debido a la fatiga de las juntas de soldadura.
El periodo de la tasa de fallo constante representa la mayor parte de la vida til de un
producto y es una medida de la calidad del diseo. Es en esta regin de la tasa de fallo
constante en la que pueden llevarse a cabo clculos sencillos relacionados con la
fiabilidad.
Curva de baera
1
0.9
0.8
0.7
Tasa de fallo
0.6
0.5
0.4
0.3
0.2
0.1
0
0 10 20 30 40 50 60
Tiempo
Decreciente
Constante
Creciente
Total
Figura 38: Curva de baera
93
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Donde: R(t) = Clculo de fiabilidad durante un periodo de tiempo, ciclos, km, etc. (t);
= Tasa de fallo (1/MTBF o 1/MTTF) y t = el tiempo durante el que existe el riesgo.
En el ejemplo del motor elctrico, si se presupone una tasa de fallo constante, la
posibilidad de hacer funcionar un motor durante seis aos sin que se produzca un fallo,
o la fiabilidad proyectada, es del 55 % . El clculo sera el siguiente:
R(t) = exp. { 0.1 x 6}
= exp. { 0.6}
= 0.5488 55%
En otras palabras, despus de seis aos, desde el punto de vista probabilstico se podra
esperar que se produjera un fallo en alrededor del 45% de la poblacin de motores
idnticos en funcionamiento en una aplicacin idntica. Merece la pena reiterar en este
punto que estos clculos proyectan la probabilidad para una poblacin general. Cada
individuo especfico dentro de la poblacin podra fallar el primer da de funcionamiento,
mientras que otro podra durar 30 aos. sta es la naturaleza de las proyecciones de
fiabilidad probabilsticas.
Una caracterstica de la distribucin exponencial es que el tiempo medio entre fallos
(MTBF) se produce en el punto en el que la fiabilidad calculada es del 36.78% o en el
punto en el que el 63.22% de las mquinas ya han fallado. En el ejemplo del motor,
despus de 10 aos, es de esperar que falle el 63.22% de los motores de una poblacin
de motores idnticos utilizados en aplicaciones idnticas. En otras palabras, la tasa de
supervivencia es del 36.78% de la poblacin.
12.6. Clculo de la fiabilidad del sistema
Una vez se ha establecido la fiabilidad de los componentes o de las mquinas en relacin
al contexto de funcionamiento y al tiempo necesario para la misin, los ingenieros de la
planta deben evaluar la fiabilidad de un sistema o proceso. De nuevo, con propsitos de
brevedad y simplicidad, abordaremos los clculos de fiabilidad en los sistemas en serie,
en paralelo y redundantes de carga compartida (M de N) (sistemas MooN).
12.6.1. Sistemas seriales
Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas de
bloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente
94
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
Para calcular la fiabilidad del sistema en el caso de un proceso serial, solo se debe
multiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidad
aproximada del subsistema 2 en un tiempo (t). La ecuacin bsica para calcular la
fiabilidad del sistema en el caso de un sistema serial sencillo es:
Rs(t) = R1(t) . R2(t) . R3(t)
As, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una de
ellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad del
sistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.
12.6.2. Sistemas en paralelo
A menudo, los ingenieros encargados del diseo incorporan la redundancia en mquinas
fundamentales. Los ingenieros encargados de la fiabilidad los denominan sistemas en
paralelo. Estos sistemas pueden disearse como sistemas en paralelo activos o como
sistemas en paralelo en espera. En la Figura 40 se muestra el diagrama de bloques de un
sistema en paralelo sencillo de dos componentes.
R1(t)
R2(t)
95
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
El sistema en paralelo simple del ejemplo, con dos componentes en paralelo (cada uno de
ellos con una fiabilidad de 0.90) presenta una fiabilidad total del sistema de 1 (0.1 X 0.1)
= 0.99. De este modo, la fiabilidad del sistema ha aumentado en gran medida.
Para que los clculos relacionados con la fiabilidad resulten significativos, no solo nos
preocupa la tasa de fallo del sistema, sino tambin cmo puede fallar el sistema, es decir,
el modo de fallo.
96
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
R1(t)
R2(t)
R3(t)
R4(t)
Suministro
hidrulico Lgica
ESD
Vlvula
Purga Transmisor
solenoide
hidrulica de presin
S
PT
Controlador
de presin
PC
Entrada Exportacin
gasoducto gasoducto
Vlvula Vlvula
cierre control presin
En este ejemplo, el modo de fallo peligroso en posicin abierta no se descubre sino hasta
que la vlvula se sometiera a una demanda; es decir, hasta que se le diera la orden de
cierre. Este se considera un fallo peligroso no detectado.
97
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
98
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
99
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La tasa a la que se producen los dos fallos, 2 se da por la tasa de fallo de un elemento ,
multiplicada por la probabilidad de que se produzca un segundo fallo durante el tiempo
improductivo, el tiempo improductivo medio del primer fallo, .MDT.
Por tanto:
2 = .( .MDT)
SYS = 12.2.MDT
Para ser exactos, debemos incluir todas las permutaciones de 3 y 4 fallos concurrentes,
as como fallos debidos a causas comunes, puesto que estos tambin dan como resultado
un fallo del sistema; no obstante, como aproximacin de primer orden, pueden obviarse
estos trminos de orden superior. En la Tabla 10 se presenta la tasa de fallo del 3oo4 y
otras configuraciones. Tenga en cuenta que se trata de aproximaciones en las que
tambin se obvian los trminos de orden superior.
Configuracin sys
1oo1
1oo2 2.2.MDT
2oo2 2.
1oo3 3.3.MDT2
2oo3 6.2.MDT
3oo3 3.
1oo4 4.MDT3
2oo4 12.3.MDT2
3oo4 12.2.MDT
4oo4 4.
100
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
Al sustituir DD y DU, por en la Tabla 10, y al utilizar el tiempo improductivo medio (MDT)
o el Tp/2 (segn resulte adecuado) puede derivarse la tasa de fallo del sistema a causa de
fallos peligrosos detectados o no detectados Tabla 11.
sys sys
1oo1 DD DU
Puesto que se presupone que todas las tasas de fallos seguros, por lo general, se detectan,
en una configuracin redundante los canales que hayan fallado se repararn siempre y
cuando el sistema no se dispare. Por lo tanto, es aplicable el enfoque adoptado para fallos
peligrosos detectados, excepto en que el nmero de fallos necesarios para un disparo
errneo puede diferir del necesario para un fallo peligroso.
Por lo general, en los disparos errneos se incluyen nicamente las tasas de fallos seguros
pero, en funcin del comportamiento del sistema al detectar un fallo, pueden incluirse los
fallos peligrosos detectados, de modo que la tasa de disparos errneos es la suma de los
dos.
En la Tabla 12 se resumen las tasas de disparos errneos del sistema en el caso de fallos
seguros.
101
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Configuracin Errneo
str
1oo1 S
1oo2 2.S
2oo2 2.S2.MDT
1oo3 3.S
2
2oo3 6.S .MDT
3oo3 3.S3.MDT2
1oo4 4.S
2
2oo4 12.S .MDT
3oo4 12.S3.MDT2
4oo4 S4.MDT3
102
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
La disponibilidad del sistema es, por lo tanto, producto de las disponibilidades debidas a
fallos peligrosos detectados, fallos peligrosos no detectados y fallos seguros:
ASYS = ADD . ADU . AS
Este mtodo puede utilizarse para modelar sistemas seriales (simplex) y tambin sistemas
redundantes.
12.14. Modelado de disponibilidad de sistemas de seguridad en modo continuo
Cuando se aplica el mtodo a sistemas de seguridad en modo continuo, el analista
debe comprender la naturaleza de las demandas a la que est sometida la funcin de
seguridad. Ciertas funciones de seguridad en modo continuo funcionan a demanda
(igual que una funcin de seguridad en modo a demanda), pero se clasifican como en
modo continuo debido a la frecuencia de la demanda (por ejemplo, superior a una vez
al ao). En este caso, la disponibilidad puede calcularse al igual que para una funcin de
seguridad en modo a demanda, excepto que el intervalo de prueba de calidad TP debe
sustituirse por el intervalo de demanda TD. Los fallos peligrosos no detectados no se
descubren sino hasta que la funcin de seguridad se somete a una demanda.
Cuando la funcin de seguridad en modo continuo proporciona control continuo de forma
eficaz, la disponibilidad puede calcularse como si se tratase de un sistema de control [12.15].
12.15. Modelado de disponibilidad de sistemas de control
Cuando se trata de modelar la disponibilidad de los sistemas de control, nos preocupan
los fallos que afectan el proceso y debemos decidir si un fallo afecta al proceso hasta tal
punto que el sistema de control se encuentra efectivamente no disponible.
La deteccin de un fallo se lleva a cabo ya sea mediante diagnstico y alarmas de fallo,
en cuyo caso se precisa una reparacin y el sistema no est disponible sino hasta que se
restaure, o mediante sntomas, en cuyo caso el proceso bajo control funciona fuera de los
lmites de los puntos de ajuste.
Los fallos que no se detectan no tienen como consecuencia inmediata que el sistema
de control se encuentre no disponible. Con el tiempo, el fallo no detectado puede tener
como consecuencia la desviacin de los lmites especficos para los parmetros de
proceso y, en dicho punto, se descubre y se traduce en una falta de disponibilidad.
La disponibilidad de los sistemas de control puede, por lo tanto, modelarse teniendo en
cuenta que la tasa de fallo total del sistema ASYS viene dada por:
ASYS = 1/(1 + SYS.MDT)
donde SYS es la tasa de fallo total del sistema como resultado de todos los fallos
[Tabla 10].
103
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
1oo1 DD DD.MDT
104
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
1oo1 DU DD.TP/2
1oo3 3
DU .TP 2 DD3.TP3/4
1oo4 4
DU .TP 3 DD4.TP4/5
Los fallos por causas comunes son fallos que pueden producirse por una nica causa,
pero que afectan de forma simultnea a ms de un canal. Pueden ser el resultado de
un fallo sistemtico, por ejemplo, un error de especificacin de diseo o una influencia
externa como temperatura excesiva que pudiera dar lugar a un fallo de componentes en
los dos canales redundantes. Es responsabilidad del diseador del sistema adoptar las
medidas necesarias para minimizar la posibilidad de que se produzcan fallos por causas
comunes empleando las prcticas de diseo adecuadas.
El modelo del factor - [IEC 61508-6, Anexo D] es la tcnica preferida puesto que es
objetiva y proporciona facilidad de rastreo en el clculo de . El modelo se ha compilado
para responder a una serie de preguntas especficas que, a continuacin, se han
puntuado mediante un juicio objetivo en materia de ingeniera. La puntuacin mxima
de cada pregunta se ha ponderado en el modelo mediante la calibracin de los resultados
de varias evaluaciones (contra datos conocidos de fallos de campo).
105
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
106
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
107
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
1oo2D
108
Entrada Salida
CNB CPU
analgica digital
Transmisor Carga Carga
de presin ventilador ventilador CCF
CCF 5%
Cant. 1 1 1 1 2 1 1
Configuracin 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
109
DU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08 5.84E-09
DU*cant. 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08 5.84E-09
DU para bifurcacin 7.66E-07 1.13E-07 5.84E-09
Periodo de prueba de calidad, T 8760 8760 8760
Total DU 7.66E-07 1.11E-10 5.84E-09
Total DD 1.21E-06
Total DU 7.72E-07
Total S 2.63E-03
CCF 5%
Cant. 1 1 1 1 2 1 1 2 4 2 2
Configuracin 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 2oo2 2oo2 2oo2 2oo2
110
Total DD 1.16E-06 4.93E-11 5.25E-08
MANUAL DE SEGURIDAD DE PROCESOS 1
Total DD 1.21E-06
Total DU 9.88E-04
Total S 2.63E-03
Entrada Salida
CNB CPU digital
Cant. 1 1 1 1 2 1 1 1 2 1 1
Configuracin 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 1oo1 1oo1 1oo1 1oo1
111
DU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08
DU*cant. 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08
DU para bifurcacin 7.66E-07 1.13E-07
Periodo de prueba de calidad, T 8760 8760
Total DU 7.66E-07 4.93E-04
Total DD 1.21E-06
Total DU 4.94E-04
Total S 2.63E-03
sistema complex
Transmisor Carga Carga
Disponibilidad de un
de presin ventilador ventilador CCF
PT-xxx FL-xxx FL-xxx
Entrada Salida
CNB CPU
analgica digital
CCF 5%
Cant 1 1 1 1 2 1 1
Configuracin 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
112
Total DD
MANUAL DE SEGURIDAD DE PROCESOS 1
DU (prueba de calidad) 3.66E-07 2.00E-07 2.00E-07 9.10E-09 3.28E-08 2.26E-08 1.54E-08 5.84E-09
DU*cant 3.66E-07 2.00E-07 2.00E-07 9.10E-09 6.56E-08 2.26E-08 1.54E-08 5.84E-09
DU para bifurcacin 7.66E-07 1.13E-07 5.84E-09
Periodo de prueba de calidad, T 8760 8760 8760
Total DU 7.66E-07 1.11E-10 5.84E-09
Los datos de la tasa de fallo utilizados en los diagramas de bloques de fiabilidad anteriores
deben estar visibles en el informe y demostrar facilidad de rastreo a la fuente. La fuente,
cuando se refiera a datos publicados, debe presentarse de forma suficientemente detallada,
de modo que terceros puedan comprobar independientemente los datos utilizados. Este
grado de detalle puede incluir identificacin de documentos, nmero ISBN (si es aplicable) y
nmero de pgina y de elemento.
Tabla 14: Clculo de probabilidad de fallo por hora (PFH)/probabilidad de fallo a demanda
(PFD) (fallos no detectados)
113
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
114
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
del personal de la planta por motivos de seguridad. sta es la funcin de seguridad que
ha atrado el objetivo del nivel de integridad de seguridad y, por lo tanto, el caso b)
anterior debe ser el punto de partida para el modelado de fiabilidad: una alarma
confirmada de gas garantiza la evacuacin del personal por motivos de seguridad.
La configuracin en la Figura 44 muestra seis detectores de gas posicionados en una
zona; la votacin del dispositivo de resolucin lgica 2oo6 est configurada para que
se adopte una accin ejecutiva si cualesquiera 2 sensores de los 6 detectan gas.
G G G
F&G
Accin ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votacin lgica 2oo6
Figura 44: Configuracin de sistema de F y G
Gas
G G G
F&G
Accin ejecutiva al
recibir alarma de
2 detectores cualquiera de 6.
Votacin lgica 2oo6
Figura 45: Cobertura de sistema de F y G
115
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
En la prctica, es probable que se requiera iniciar una accin ejecutiva lo antes posible,
por ejemplo, cuando un mnimo de dos sensores se encuentren dentro de la nube de
gas. En este caso, los sensores deben modelarse como 2oo2, sin redundancia y, como
consecuencia, no podran tolerarse fallos en ellos. Si se consiguen los objetivos con una
configuracin no redundante, este caso representara entonces un enfoque conservador,
ya que no confa en la justificacin de ningn supuesto de la cobertura de los detectores.
En este ejemplo, si se puede permitir que la nube de gas sea suficientemente grande
como para cubrir 3 sensores antes de adoptar la accin ejecutiva, con la votacin lgica
de cualesquiera 2 de 6 se podra tolerar el fallo de un sensor. En otras palabras, la
fiabilidad de deteccin de gas podra modelarse como 2 de 3.
En el ejemplo anterior, puesto que la votacin lgica de los detectores de gas es 2oo6,
algunos analistas sucumben a la tentacin de modelar la fiabilidad del sistema como
2oo6 en lugar de como 2oo3, o incluso 2oo2. Obviamente, la discrepancia resultante en
la probabilidad de fallo a demanda general de la funcin de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad entre configuraciones
redundantes y no redundantes puede ser significativa.
Dando por supuesto que puede declararse de forma razonable cierta tolerancia a fallos,
por ejemplo, mediante el modelado 2oo3 o 2oo4, entonces las diferencias resultantes en
la probabilidad de fallo a demanda general de la funcin de seguridad y su rendimiento
frente a los objetivos de nivel de integridad de seguridad sern menores. La probabilidad
de fallo a demanda en configuraciones redundantes est limitada por los fallos por
causas comunes, por lo que las mejoras en la probabilidad de fallo a demanda no son
significativas cuando la tolerancia a fallos de hardware (HFT) aumenta por encima de 1.
116
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
Nota: La probabilidad de fallo a demanda se calcula para las tasas de fallo y para los
tiempos de reparacin tpicos de los sensores y se da por supuesta una contribucin de
causas comunes en las configuraciones redundantes. Una tolerancia a fallos de cero en
este ejemplo representa una configuracin 2oo2, mientras que una tolerancia a fallos de
1 representa 2oo3, de 2 representa 2oo4, y as sucesivamente.
Los resultados demuestran que, en funcin de la arquitectura, o de la tolerancia a fallos
de hardware (HFT) seleccionada para el modelado, la probabilidad de fallo a demanda
calculada podra encontrarse en la banda SIL1, SIL2 o SIL3.
1.00E-01
2oo2 SIL1
PFD
1.00E-02
SIL2
2oo3
1.00E-04
0 1 2 3 4
Tolerancia a fallos del hardware (HFT)
Figura 46: Clculo de la probabilidad de
fallo a demanda (PFD)del sistema de F y G
Por ejemplo, en el caso de un detector tipo B con una fraccin de fallos seguros
comprendida entre el 60% y el 90%, pueden declararse las siguientes capacidades
arquitectnicas de nivel de integridad de seguridad:
117
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
El personal est protegido de los peligros ocasionados por fuego y gas mediante una
alarma confirmada. Las alarmas visibles y sonoras son lo nico que se necesita para
garantizar la evacuacin del personal por motivos de seguridad. Por lo tanto, en caso de
peligros de seguridad, en la configuracin de salida nicamente se debe considerar la
existencia de elementos de aviso visibles y sonoros.
Teniendo en cuenta que una zona puede incluir equipos ruidosos que pueden interferir
con una baliza o evitar que se escuche una alarma sonora, una buena prctica consistira
en posicionar las alarmas de modo que el personal que se encuentre en la zona
peligrosa pueda ver o escuchar siempre ms de un elemento de aviso al mismo tiempo.
Si puede verificarse este supuesto, el analista podra aprovechar esta tolerancia a fallos en
el modelado de fiabilidad de la configuracin de alarmas.
118
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
Zona 01 Zona 02
Baliza Baliza
Baliza
Baliza Baliza
Baliza
Dispositivo de
resolucin
lgica F y G
Salidas 6oo6
La clave est en decidir cuntas balizas pueden verse y cuntas est permitido que fallen
sin ocasionar la prdida de la funcin de seguridad. En la configuracin del caso prctico
se decidi que en cada zona pudieran verse siempre 2 balizas de las 3 de la zona.
Como ejemplo adicional, con 6 balizas en una sola zona se decidi que, en cualquier
momento, se pueden ver 4 de las 6 balizas (Figura 48). Entonces se necesitara
que funcionara una baliza de las 4 que pueden verse, por lo que las alarmas podran
modelarse como 1oo4.
119
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Zona 01
Baliza Baliza Baliza
Dispositivo de
resolucin
lgica F y G
Salidas 6oo6
120
MANUAL DE SEGURIDAD DE PROCESOS 1
Tcnicas de fiabilidad
12.31. Resumen
Se puede apreciar que el modelado del subsistema de entradas puede ofrecer resultados
optimistas si la configuracin de votacin lgica se modela en lugar de la tolerancia
a fallos de detectores. El mismo enfoque ofrece resultados muy pesimistas cuando se
modela el subsistema de salidas. Entre los dos subsistemas, el enfoque de modelado
adoptado puede dar lugar a una gran diferencia en el rendimiento arquitectnico y en la
probabilidad de fallo a demanda calculada y, por lo tanto, puede darse una gran variacin
en el nivel de integridad de seguridad delcarado.
Por tanto es importante adoptar un enfoque minucioso para el modelado de los sistemas
de F y G, y comprender claramente las tcnicas de modelado as como los peligros y los
sistemas analizados. As se logra una evaluacin precisa de la reduccin de riesgos a cargo
de un sistema de F y G y los usuarios finales no reciben informacin errnea por
declaraciones optimistas.
121
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Si algo va mal y alguien fallece, podra dirigirse a las familias y demostrar que hizo todo
lo que se esperaba (dentro de lo razonable) por su parte?
Una propuesta de plan de cara al cumplimiento normativo sera cumplir con los requisitos
de IEC 61511-1, 10 y 12. stos incluyen las siguientes subclusulas, tal y como se muestra
en la Figura 49:
122
IEC 61511-1
Evaluacin SIL
Requisitos para
conformidad
123
IEC 61511-1, 11.2 IEC 61511-1, 11.3 IEC 61511-1, 11.4 IEC 61511-1, 11.5 IEC 61511-1, 11.6 IEC 61511-1, 11.7 IEC 61511-1, 11.8 IEC 61511-1, 11.9 IEC 61511-1, 12.4
Requisitos Requisitos para el Requisitos para Requisitos para Dispositivos de Interfaces del Requisitos de diseo Probabilidad de fallo Diseo y desarrollo
generales comportamiento del tolerancia a fallos seleccin de campo operador, personal relativos al SIF del software de
sistema a la hora de de hardware componentes y de mantenimiento mantenimiento o aplicacin
detectar un fallo subsistemas y comunicacin prueba
IEC 61511-1, 11.5.2 IEC 61511-1, 11.5.3 IEC 61511-1, 11.5.4 IEC 61511-1, 11.5.5 IEC 61511-1, 11.5.6
Requisitos para Requisitos para
Requisitos Requisitos Requisitos para
dispositivos dispositivos
generales basados en programables FPL dispositivos
programables LVL
uso anterior basados en uso basados en uso programables FVL
anterior anterior
Verificacin SIL
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
1. Todos los bloques de salidas tienen una votacin de 1oo2 en demandas de PLC
y cambian a 1oo1 al detectar la prdida de comunicacin de un PLC.
2. Las especificaciones de diseo indican que se aplica un principio de proteccin
en caso de fallos. Todos los elementos de cierre del sistema instrumentado de
seguridad llegan a un principio de proteccin en caso de fallos.
3. En el caso de un sistema de cierre de emergencia (ESD) se ha implementado
una funcin de desenergizacin a disparo.
4. En el caso del sistema de F y G, se ha implementado una energizacin a disparo
de agente extintor. La deteccin de un fallo peligroso individual en una
configuracin redundante se indica mediante una condicin de alarma. El
sistema de F y G continua funcionando con seguridad durante el tiempo
permitido para la reparacin y se han implementado otras medidas de
reduccin de riesgos adicionales tales como la disponibilidad de liberacin
manual cableada de agente extintor.
13.3.1. Enfoque
124
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificacin SIL
Con respecto a estos requisitos, IEC 61508 [19.1] proporciona la siguiente orientacin
adicional:
una tolerancia a fallos de hardware de N significa que N+1 fallos podra causar
la prdida de la funcin de seguridad. Al determinar la tolerancia a fallos de
hardware, no deben contabilizarse otras medidas que pudieran controlar los
efectos de fallos tales como diagnsticos;
cuando un fallo conlleve directamente el suceso de uno o ms fallos
subsiguientes, se consideran como un solo fallo;
al determinar la tolerancia a fallos de hardware, pueden excluirse algunos fallos,
siempre y cuando la posibilidad correspondiente de que sucedan sea muy baja
con respecto a los requisitos de integridad de seguridad del subsistema.
Cualquier exclusin de dichos fallos se debe justificar y documentar.
Donde:
D = DU + DD
IEC 61511-1, 11.4.5 permite evaluar la tolerancia a fallos de hardware mediante los
requisitos de IEC 61508-2, Tablas 2 y 3.
En la norma IEC 61508 [19.1] los subsistemas se dividen en dos categoras, tipo A o tipo B.
Por regla general, si los modos de fallo estn bien definidos, puede determinarse
completamente el comportamiento bajo condiciones de fallo y si a su vez hay datos de
campo adecuados y suficientes, el subsistema se considera entonces de tipo A. Si no se
cumple alguna de estas condiciones, el subsistema se considera entonces de tipo B.
125
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Nota: una tolerancia a fallos de hardware de N significa que N+1 fallos podran causar la
prdida de la funcin de seguridad.
13.3.4. Ejemplo
En este ejemplo, Figura 50, la funcin de seguridad consta de dos transmisores de nivel
que funcionan en una configuracin 1oo2. Si un transmisor detecta un nivel elevado, el
PLC Allen Bradley desenergiza la vlvula accionada por solenoide, lo que permite que
cierre la vlvula de cierre de emergencia.
126
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificacin SIL
Nuestros datos de fallo de cada elemento nos permiten entonces calcular la fraccin de
fallos seguros (SFF). El tipo de elemento y la fraccin de fallos seguros figuran debajo de
cada elemento en la Figura 50.
Por ltimo, el nivel de integridad de seguridad que puede declararse para el rendimiento
arquitectnico de cada elemento puede determinarse con ayuda de esta informacin en
la Tabla 16.
Conmutador
nivel
Conmutador
nivel
Tipo A B A A
SFF 0.40 0.95 0.72 0.25
HFT 1 0 0 0
SIL arquitectnico 2 2 2 1
SIL permitido (arq.) 1
SIL global permitido SIL1
Los conmutadores de nivel son de tipo A; por lo tanto, se aplican los criterios de tipo A.
Con una fraccin de fallos seguros (SFF) de 0.40 y una tolerancia a fallos de 1, los
transmisores de nivel cumplen con las restricciones arquitectnicas de SIL2.
De forma similar puede evaluarse tambin la vlvula accionada por solenoide y la vlvula
de cierre de emergencia. La vlvula accionada por solenoide, tambin de tipo A, presenta
una tolerancia a fallos de 0 y una fraccin de fallos seguros (SFF) de 0.72 que da lugar a
SIL2. La vlvula de cierre de emergencia, de tipo A, con una tolerancia a fallos de 0 y una
fraccin de fallos seguros (SFF) de 0.25 da lugar a SIL1.
127
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La evaluacin del PLC debe llevarse a cabo entonces con respecto a los requisitos de
tipo B, Figura 52.
128
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificacin SIL
13.4.1. Enfoque
Este procedimiento no debe utilizarse para aplicaciones SIL4, sino que para el resto de
componentes y de subsistemas debe aplicarse lo siguiente.
En primer lugar, la seleccin del componente debe llevarse a cabo sobre la base de la
especificacin de suministro procedente de proveedores autorizados.
129
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
La evaluacin del proveedor debe incluir los sistemas de gestin de calidad del fabricante
y de gestin de configuracin, y deben formar parte de la evidencia de la idoneidad
presentada en la especificacin de diseo funcional (FDS).
1000000
0 fallos
X 1 fallo
5 fallos
10000
10 fallos
X 15 fallos
Aos de dispositivo requeridos
1000
X
100
X
10
1
1.00E-07 1.00E-06 1.00E-05 1.00E-04
Tasa de fallos especfica (/h)
Figura 53: Gua del uso requerido
130
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificacin SIL
Por ejemplo, si la tasa de fallo especfica es 1,00E-06/h y se han notificado cero fallos,
entonces a partir de la Figura 53 deben demostrarse aprox. 137 aos-dispositivo, que se
pueden lograr con 14 dispositivos funcionando sin fallo durante 10 aos. Si se notifican
fallos en la poblacin en el campo, entonces la tasa actual de fallo de dispositivos ser
mayor y, consecuentemente, se requerirn ms horas de funcionamiento exentas de
fallos para demostrar la misma tasa de fallos objetivo.
13.4.4. Dispositivos programables en lenguaje de programa fijo (FPL), IEC 61511-1, 11.5.4
131
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
deberan haber sido sometidos a una evaluacin formal a cargo de una organizacin
apropiada y debe facilitarse una certificacin SIL3 junto con una prueba documental
justificativa.
La documentacin debe incluir una justificacin de que cuando exista una diferencia
entre el perfil operacional y el entorno fsico como se ha experimentado previamente
y el perfil operacional y el entorno fsico cuando se usa en la funcin de seguridad, la
especificacin de diseo funcional (FDS) debe identificar estas diferencias y justificar
que la probabilidad de fallo a demanda (PFD) no se vea afectada adversamente.
132
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificacin SIL
Para seleccionar los dispositivos de campo, deben cumplirse todos los requisitos
generales [13.4.2], los requisitos para uso previo [13.4.3] y los siguientes requisitos para
dispositivos de campo. Si procede, tambin deben cumplirse los requisitos para los
dispositivos programables en lenguaje de programa fijo (FPL).
133
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Los dispositivos de campo se deben seleccionar e instalar para minimizar fallos que pudieran
dar lugar a datos imprecisos debido a condiciones derivadas del proceso y de las condiciones
medioambientales. Las condiciones que deben considerarse incluyen la corrosin,
la congelacin de materiales en tuberas, slidos en suspensin, polimerizacin, coccin,
temperatura y presin extremos, condensacin en lneas de impulso de tramo seco y
condensacin insuficiente en lneas de impulso de tramo hmedo.
Los sensores inteligentes deben contar con proteccin frente a escritura para evitar la
modificacin inadvertida desde una ubicacin remota, a menos que una revisin de
seguridad apropiada permita el uso de lectura/escritura.
134
MANUAL DE SEGURIDAD DE PROCESOS 1
Verificacin SIL
El diseo del sistema instrumentado de seguridad debe ser tal que la prueba pueda
llevarse a cabo de forma integral o por partes. Debe tener en cuenta lo siguiente segn
proceda:
Prueba de calidad en lnea. El diseo de prueba debe asegurar que los fallos no
detectados puedan descubrirse de forma adecuada;
Instalaciones de prueba y omisin. El operario debe ser alertado en caso de que
una parte del sistema instrumentado de seguridad (SIS) se haya omitido con
fines de mantenimiento o prueba;
No debe permitirse un forzado de entradas y de salidas sin establecer el
sistema instrumentado de seguridad fuera de lnea a menos que existan
procedimientos y medidas de seguridad adecuadas. En cuanto a la funcin
de bypass, debe informarse al operario si se fuerza alguna entrada/salida.
IEC 61511-1, 12 lista los requisitos que se aplican a cualquier software que forme parte de
un sistema instrumentado de seguridad o que se utilice para desarrollar uno. El requisito
define los requisitos del ciclo de vida de seguridad del software de aplicacin para
garantizar que:
El requisito general es definir las fases aplicables del ciclo de vida de seguridad del
software que se vaya a considerar y documentar toda la informacin relevante. Esto
incluye lo siguiente:
135
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
136
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Hasta ahora hemos identificado que debemos establecer medidas de fiabilidad especficas
con el fin de garantizar que el riesgo general no supere el riesgo tolerable mximo.
Tambin hemos visto que la medida de fiabilidad especfica puede expresarse en niveles
de integridad de seguridad (SIL) y, para cumplir con la norma, no solo tenemos que
demostrar que la funcin de seguridad cumple los objetivos cuantitativos sino tambin
que aplicamos controles apropiados.
Cumplir con la norma requiere que las medidas de fiabilidad especficas se consigan de
forma apropiada al nivel de integridad de seguridad (SIL) aplicado.
14.2. Requisitos de fiabilidad especficos del nivel de integridad de seguridad (SIL)
La probabilidad de fallo a demanda (PFD) en cada nivel de integridad de seguridad (SIL)
depende del modo de operacin relativo al uso previsto del sistema instrumentado de
seguridad (SIS) con respecto a la frecuencia de las demandas a las que se ha sometido.
Estas figuran definidas en el apartado [6.9] y pueden ser:
Modo a demanda, en el que se adopta una accin especfica en respuesta a las
condiciones del proceso o a otras demandas. En caso de fallo peligroso de las funciones
instrumentadas de seguridad (SIF), nicamente se produce un peligro potencial en caso
de un fallo del proceso del sistema bsico de control de proceso (BPCS);
Modo continuo, segn el cual en caso de fallo peligroso de las funciones instrumentadas
de seguridad (SIF) ocurre un peligro potencial sin ms fallos a menos que se adopte una
accin para evitarlo.
Sobre la base de estos criterios se pueden aplicar los objetivos apropiados que figuran en
la tabla 17.
Nivel SIL Modo a demanda Modo continuo
Probabilidad de fallo a Tasa de fallo por hora
demanda
SIL4 10-5 a <10-4 10-9 a <10-8
SIL3 -4
10 a <10 -3 10-8 a <10-7
SIL2 10-3 a <10-2 10-7 a <10-6
SIL1 10-2 a <10-1 10-6 a <10-5
Tabla 17: Probabilidad de fallo a demanda (PFD) y tasas de fallo especficas de nivel de
integridad de seguridad (SIL)
137
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Las formas genricas de estas ecuaciones para varias configuraciones, tanto para sistemas
de modo continuo como a demanda, se detallan en [12.9].
Las tasas de fallo utilizadas en los clculos pueden obtenerse mediante un anlisis de
modos de fallos, efectos y criticidad (FMECA), cuantificarse por los datos de campo o por
138
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Vlvula
Purga Transmisor
solenoide
hidrulica de presin
S
PT
Proceso y BPCS
Controlador
de presin
PC
Entrada Exportacin
gasoducto gasoducto
Vlvula Vlvula
cierre control presin
139
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Alcance
La funcin de cierre de emergencia (ESD), S-005 previene una reaccin fuera de control en
39-R-050, y consecuentemente protege contra una prdida de contencin del reactor que
podra dar lugar a lesiones de los operarios y a su vez a daos medioambientales. La
140
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
funcin de seguridad S-005 se inicia con la deteccin de temperatura alta o presin alta
en el reactor, y la vlvula de alivio de presin ROV0503 se abre para aliviar la presin.
Se entiende que haya dudas de que ROV0503 no ofrezca capacidad suficiente para la
descarga de presin y, por lo tanto, la accin de cierre de emergencia (ESD) de S-005 se
ha modificado para incluir la activacin de una vlvula de alivio adicional ROV0501.
Objetivos
El cliente mantiene un gran nmero de sensores como parte del sistema instrumentado
de seguridad (SIS), y tiene inters en minimizar estos gastos fijos. El objetivo de este
anlisis es, por lo tanto:
Permisivo y anulacin
141
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Configuracin de hardware
Lgica (2oo3)
-005S-P
Transmisor Barrera IS ROV0501
de presin
PT0500H
Transmisor
ROV0503
temperatura
PT0500H
Conmutador
manual
Conmutador
manual
Cobertura de diagnstico
Se ha asumido que todos los modos de fallo no detectados sern descubiertos con la
prueba de calidad, es decir, con la ejecucin completa de la funcin del sistema
instrumentado de seguridad (SIS).
142
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Los intervalos de prueba de calidad deben seleccionarse para conseguir los objetivos a la
vez que se maximiza el intervalo de prueba de los sensores.
Los fallos por causas comunes (CCF) son fallos que pueden derivarse de una causa
individual, pero que pueden afectar simultneamente a ms de un canal. Pueden ser el
resultado de un fallo sistemtico, por ejemplo, un error de especificacin de diseo o
una influencia externa como temperatura excesiva que pudiera dar lugar a un fallo del
componente en los dos canales redundantes.
La contribucin de los fallos por causas comunes en rutas redundantes en paralelo debe
considerarse en el modelo con la incorporacin de un factor . La tasa de fallos por causas
comunes incluida en el clculo es igual a x la tasa de fallo total de una de las rutas
redundantes. Los factores que deben utilizarse en el anlisis estn resumidos en la
Tabla 19.
Lgica TMR PLC 5% Los fallos por causas comunes en una configuracin triple
modular redundante (TMR) son pequeos. No obstante, se ha
utilizado un valor de 5% para mantener un enfoque
conservador.
Componentes tipo A
143
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Componentes tipo B
El anlisis debe asumir tasas de fallo constantes dado que se espera eliminar los efectos
de fallos prematuros mediante procesos apropiados. Estos procesos incluyen el uso de
productos muy desarrollados de fuentes autorizadas, pruebas en fbrica antes de la
entrega, y funcionamiento ampliado y prueba funcional como parte de la instalacin y
la puesta en servicio. Los datos de devolucin de campo en otros proyectos similares
indican que los fallos de vida prematuros no dan lugar a un nmero significativo de
devoluciones y, por lo tanto, las tcnicas empleadas se estiman suficientes.
Tambin se asume que los componentes no se utilizan ms all de su vida til, por lo que
as se garantiza que no ocurran fallos causados por el desgaste de ciertos mecanismos.
Las tasas de fallo (en fallos/hora) que pueden ser utilizados en el modelo para el clculo
de la probabilidad de fallo a demanda (PFD), DD y DU estn resumidos en la Tabla 20. Las
tasas de fallo se obtuvieron a partir de una combinacin de fuentes.
144
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
Dispositivos de entrada
PT 0500 Transmisor de presin (IS) 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
PT 0501 Transmisor de presin (seguridad 1.5E-06 1.4E-06 6.0E-07 7.5E-07 1.5E-07 0.60
intrnseca)
PB 0500 Barrera para transmisor de presin 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
anterior (no seguridad intrnseca)
PB 0501 Barrera para transmisor de presin 2.1E-07 6.3E-08 6.3E-08 0.0E+00 1.5E-07 0.70
anterior (no seguridad intrnseca)
FT 0041 Medidor de flujo Coriolis 2.6E-06 2.2E-06 9.0E-07 1.3E-06 4.0E-07 0.65
TT 0504 RTD de 3 conductores con 2.0E-06 1.4E-06 4.0E-07 1.0E-06 6.0E-07 0.80
transmisor montado sobre un
cabezal
Dispositivos lgicos
Dispositivos de salida
ROV 0501 AOV (FO) vlvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
ROV 0503 AOV (FO) vlvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
ROV 0404 AOV (FC) SOV incluida 9.72E-06 3.03E-06 3.03E-06 0.00E+00 6.69E-06 0.688
ROV 0405 AOV (FO) vlvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
ROV 0406 AOV (FO) vlvula de descarga 5.07E-06 1.35E-06 1.35E-06 0.00E+00 3.72E-06 0.734
con SOV incluida
Tabla 20: Tasas de fallo (/h) y clculo de fraccin de fallos seguros (SFF)
145
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
146
Mdulo AI Mdulo DI Mdulo DO
PT 0500 PB 0500 CPU
32pt 32pt 16pt
Bifurcacin A
de bloques de fiabilidad
Mdulo AI Mdulo DI Mdulo DO
TT 0504 32pt CPU
32t 6pt
Contribucin CCF 3% 5%
Cant. 1 1 1 1 1 1 1 1
Configuracin 1oo2 2oo3
DD [bifurcacin A] 7.50E-07 0.00E+00 2.25E-08 0.00E+00 6.90E-09 5.09E-07 1.08E-08 1.46E-08 2.71E-08
DD [bifurcacin B] 1.00E-06 0.00E+00
DD para bifurcacin 2.25E-08 0.00E+00 5.42E-07 2.71E-08
MDT 72 72 72 72 72
Configuracin PFD 3.89E-09 1.62E-06 0.00E+00 4.56E-09 1.95E-06
147
DU [bifurcacin A] 6.00E-07 6.30E-08 1.99E-08 8.00E-07 9.86E-11 6.42E-09 9.91E-11 9.93E-11 3.36E-10
DU [bifurcacin B] 4.00E-07 0.00E+00
DU para bifurcacin 1.99E-08 8.00E-07 6.72E-09 3.36E-10
Periodo de prueba de calidad, T 17,520 17,520 4380 26,280 26,280
Configuracin PFD 2.71E-05 1.74E-04 1.75E-03 3.11E-08 4.41E-06
PFD 4.92E-03
SIL permitido (PFD) 2
Tipo B A A B B B
SFF 0.60 0.70 0.60 >99 >99 >99
Redundancia 1 0 0 1 1 1
SIL arquitectnico 2 2 2 3 3 3
SIL permitido (arq.) 2
Probabilidad de fallo de SIF
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Al realizar clculos de probabilidad de fallo a demanda es crtico que todos los clculos
sean visibles y que todos los datos utilizados se puedan rastrear con respecto a la fuente.
Microsoft Excel es una herramienta til en este sentido, dado que cumple estos dos
requisitos y tambin permite desarrollar una representacin grfica del modelo de
fiabilidad, tal y como se muestra en la Figura 57.
La hoja de clculo permite que cada celda de datos remita a una tabla de datos en la
que figuran todos los datos de tasas de fallo recogidos as como las fuentes de datos. La
Tabla 22 es un ejemplo de tabla de datos. Es importante que la referencia de fuente de
datos est lo suficientemente detallada para que cualquiera pueda comprobar y
confirmar los valores utilizados.
Dispositivo 5.57E- 2.23E- 2.21E- 2.20E- 3.34E- B 1.00 168 4380 Sintef
de resolucin 06 06 06 08 06 [14.8.8]
lgica SIL3
Mdulo de 1.07E- 5.34E- 5.08E- 2.60E- 5.34E- B 0.98 168 4380 Sintef
entrada 06 07 07 08 07 [14.8.8]
analgica
Mdulo de 5.26E- 2.63E- 2.50E- 1.30E- 2.63E- B 0.98 168 4380 Sintef
salida 07 07 07 08 07 [14.8.8]
discreta
Vlvula HIPPS 5.29E- 2.12E- 0.00E+ 2.12E- 3.17E- A 0.60 730 4380 Oreda
12" 06 06 00 06 06 2002
[14.8.6]
148
MANUAL DE SEGURIDAD DE PROCESOS 1
Probabilidad de fallo de SIF
14.8.1. Enfoque
Los datos relativos a la tasa de fallo tan solo deben obtenerse de fuentes adecuadas y esto
depende de la aplicacin. A continuacin figuran fuentes de datos que se han utilizado y
que resultan apropiadas para el sector de proceso.
14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1
Sensors, ISBN 978-0-9727234-3-5/Volume 2 Logic Solvers and Interface Modules,
ISBN 978-0-9727234-4-2/Volume 3 Final Elements, ISBN 978-0-9727234-5-9
14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992
14.8.5. IEEE Standard 500-1984. Guide to the Collection and Presentation of Electrical,
Electronic, Sensing Component, and Mechanical Equipment Reliability Data.
14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002
ISBN 82-14-02705-5
14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the Energy
Institute ISBN 0 85293 404 1.
14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook,
SINTEF, ISBN 82-14-03898-7.
149
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
150
MANUAL DE SEGURIDAD DE PROCESOS 1
Instalacin, puesta en servicio y validacin
Los procedimientos de validacin deben incluir todos los modos de operacin del
proceso y del equipo asociado y deben incluir:
151
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Debe llegarse al estado definido, o seguro, en caso de prdida de energa, p. ej., energa
elctrica o hidrulica o aire de instrumentacin. Las funciones de alarma de diagnstico
definidas en la especificacin de requisitos de seguridad deben funcionar y ofrecer un
rendimiento tal y como se especifica en variables de proceso no vlidas, p. ej., entradas
fuera de rango. Despus de la validacin deben facilitarse registros apropiados y se deben
identificar el elemento de prueba, el equipo de prueba, los documentos de prueba y los
resultados de prueba adems de cualquier discrepancia y anlisis o solicitudes de cambio
que surjan al respecto.
152
MANUAL DE SEGURIDAD DE PROCESOS 1
Funcionamiento y mantenimiento
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
Los objetivos de esta fase tal y como se define en IEC 61511-1, 16.1 son:
153
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
pruebas de calidad;
omitir una funcin instrumentada de seguridad para prueba o reparacin;
recogida rutinaria de datos: p. ej., resultados de auditoras y pruebas del
sistema instrumentado de seguridad, registros de demandas de funciones
instrumentadas de seguridad, tiempos improductivos por fallos, reparaciones
y pruebas de calidad.
peligros;
puntos de disparo;
acciones ejecutivas;
funcionamiento de todos los bypasses y cualquier restriccin sobre su uso;
operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restriccin
relativa a su uso;
funcionamiento de alarmas y diagnsticos disponibles.
154
MANUAL DE SEGURIDAD DE PROCESOS 1
Funcionamiento y mantenimiento
155
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
Los objetivos de esta fase tal y como se define en IEC 61511-1, 17.1 y 18.1 son garantizar
que:
156
MANUAL DE SEGURIDAD DE PROCESOS 1
Modificacin y desmantelamiento
Cualquier solicitud de cambio debe describir el cambio requerido y las razones para la
solicitud. Esto lo puede proponer el personal de F y M como resultado de incidentes
durante el funcionamiento o el mantenimiento. El proceso de aprobacin habitual de
solicitudes de cambio debe englobar a distintos departamentos dentro de una
organizacin para determinar el impacto del cambio relativo al diseo, la base instalada
y la implementacin requerida.
Una vez que una organizacin est involucrada en la seguridad funcional, cualquier
solicitud de cambio debe adems ser revisada por una persona competente, p. ej. la
autoridad de seguridad (SA), para determinar si el cambio puede afectar la seguridad y,
en tal caso, se requiere un anlisis de impacto adecuado.
Los resultados del anlisis pueden requerir una nueva inspeccin de las primeras partes
del ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros identificados y las
evaluaciones de riesgos. Las actividades de modificacin no pueden empezar sino hasta
que este proceso haya sido completado y la autoridad de seguridad haya autorizado el
cambio.
El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del ciclo
de vida, y debe tratarse como una modificacin al final de la vida del proyecto.
157
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Asignacin de funciones de
2
seguridad a capas de proteccin
evaluacin y auditora de la seguridad funcional
Verificacin
Instalacin, puesta en marcha
5
y validacin
Funcionamiento y
6
mantenimiento
7 Modificacin
8 Desmantelamiento
El objetivo de esta fase, tal y como se define en IEC 61511-1, 5, es identificar las
actividades de gestin y la documentacin necesarias con el fin de habilitar las fases
del ciclo de vida aplicables para que puedan ser abordadas convenientemente por
los responsables respectivos.
La norma lista requisitos generales para la gestin y la documentacin para permitir que
las fases del ciclo de vida aplicables sean abordadas adecuadamente por los respectivos
responsables.
158
MANUAL DE SEGURIDAD DE PROCESOS 1
Gestin, evaluacin y auditora
Los requisitos para la gestin de la seguridad funcional figuran resumidos en la Tabla 23.
Debe estar implementado un sistema de gestin Debe estar disponible un documento de gestin de
de seguridad funcional para cerciorarse de que seguridad funcional de alto nivel que identifique todas las
el sistema instrumentado de seguridad tenga la fases del ciclo de vida del alcance. El documento de gestin
capacidad de implementar y mantener el debe referenciar los procedimientos necesarios de todas las
proceso en un estado seguro. actividades relacionadas con la seguridad.
Debe haber procedimientos implementados para especificar
todas las actividades de gestin y tcnicas que se llevarn a
cabo en el proyecto. Los procedimientos deben identificar
los documentos que deben elaborarse.
Los proyectos deben controlarse usando un plan de calidad
y seguridad que identifique las actividades que se llevarn a
cabo, los medios de control y que permita la aprobacin una
vez completados.
159
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
160
MANUAL DE SEGURIDAD DE PROCESOS 1
Gestin, evaluacin y auditora
161
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
162
MANUAL DE SEGURIDAD DE PROCESOS 1
Gestin, evaluacin y auditora
Debe haber una poltica y una estrategia para lograr la seguridad funcional dentro de la
organizacin y deben identificarse los medios que se utilizan en la organizacin para
dicha comunicacin.
Todo el personal de proyecto debe estar identificado conforme a sus competencias y sus
responsabilidades deben estar definidas. Las competencias del personal deben quedar
registradas en un registro de competencias y debe existir un procedimiento para revisar
dichas competencias, para actualizar peridicamente el registro con las experiencias que
se vayan acumulando y para revisar las necesidades de formacin. Deben definirse
requisitos relativos a las competencias para cada rol del proyecto.
Si en el alcance existen algunas actividades nuevas, p. ej., HAZOP, entonces debe crearse
un procedimiento para abordar HAZOP. Si, por ejemplo, un desarrollo consiste en incluir
software de una aplicacin relacionada con la seguridad, entonces debe disponerse un
procedimiento para asegurarse que el software se desarrolle conforme a la fase 4 del ciclo
de vida [11].
163
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Sin embargo, al considerar cambios respecto a una funcin de seguridad, debe existir
algn tipo de anlisis del impacto con el fin de determinar si el caso podra comprometer
la seguridad y a qu punto retornar dentro del ciclo de vida con el fin de empezar el
proceso de reevaluacin. Puede ser necesario un procedimiento para realizar el anlisis
de impacto y gestionar la reevaluacin.
En funcin de las fases del ciclo de vida en el alcance, puede ser necesario implementar
procedimientos para tratar, recopilar y mantener la informacin derivada de: peligros,
incidentes y modificaciones. Los procedimientos tambin pueden describir:
Puede resultar necesario recopilar datos y dar mantenimiento a dichos datos porque
durante la evaluacin de seguridad se ha podido asumir que la funcin de seguridad era,
por ejemplo, un sistema de modo a demanda. Al supervisarse la tasa de demanda a la que
se somete la funcin de seguridad se asegura que los objetivos apropiados y las medidas
de rendimiento fueron fijadas y siguen siendo vlidas.
164
MANUAL DE SEGURIDAD DE PROCESOS 1
Referencias
19. Referencias
19.1. IEC 61508:2010, Functional Safety of Electrical/Electronic/Programmable
Electronic Safety Related Systems.
19.2. IEC 615112004: Functional Safety: Safety Instrumented Systems for the
Process Industry.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),
2001
19.8. Functional Safety: Safety Instrumented Systems for the Process Industry
Sector. ANSI/ISA-84.00.01-2004 Part 1 (IEC 61511-1 Mod).
165
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
20. Definiciones
2oo3 Dos de tres circuitos lgicos (circuito lgico 2/3) Un circuito lgico con tres entradas
independientes. La salida del circuito lgico tiene el mismo estado que cualquiera de
los dos estados de entrada coincidentes. Por ejemplo, un circuito de seguridad en el
que hay tres sensores y una seal de cualquiera de estos dos sensores es necesaria para
solicitar un cierre. Este sistema 2oo3 se considera tolerante a un solo fallo (HFT = 1),
es decir, en caso de que uno de los sensores falle peligrosamente, el sistema podra
desconectarse con seguridad. Otros sistemas de votacin incluyen 1oo1, 1oo2, 2oo2,
1oo3 y 2oo4.
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable).
La filosofa de tratar con riesgos que se hallan entre un extremo superior e inferior. El
extremo superior es donde el riesgo es tan grande que es rechazado completamente,
mientras que el extremo inferior es donde el riesgo es o se ha logrado que sea
insignificante. Esta filosofa considera los costes y los beneficios de la reduccin de
riesgos para hacer que el riesgo sea tan bajo como resulte razonablemente
practicable.
Anlisis de rbol de Mtodo de modelo de propagacin de fallos. El anlisis construye una imagen en forma
eventos de rbol de las cadenas de eventos, desde un evento iniciador hasta varios resultados
potenciales. El rbol se expande desde el evento iniciador en ramas de eventos de
propagacin intermedios. Cada rama representa una situacin en la que es posible un
resultado distinto. Despus de incluir todas las ramas apropiadas, el rbol de eventos
termina con mltiples resultados posibles.
Apertura en error Condicin en la que el componente de vlvula de cierre se sita en una posicin de
apertura cuando falla la fuente de energa de accionamiento.
Arquitectura Estructura de voto de elementos diferentes en una funcin instrumentada de
seguridad. Ver Restricciones arquitectnicas, tolerancia a fallos y 2oo3.
BPCS Ver Sistema bsico de control de proceso.
Cierre en error Condicin en la que el componente de vlvula de cierre se sita en una posicin
cerrada cuando falla la fuente de energa de accionamiento.
Cobertura de Medicin de la capacidad del sistema para detectar fallos. Se trata de una relacin entre
diagnstico las tasas de fallos para fallos detectados y la tasa de fallo de todos los fallos en el
sistema.
Cobertura de prueba Fallos porcentuales detectados durante el servicio de un equipo. En general se asume
de calidad que cuando se lleva a cabo una prueba de calidad se detectan y corrigen los errores en
el sistema (cobertura 100% de la prueba de calidad).
Consecuencia Magnitud de dao o medicin del resultado de un evento perjudicial. Uno de los dos
componentes utilizados para definir un riesgo.
Diagnsticos D Algunos dispositivos de resolucin lgica con clasificacin de seguridad estn
designados como dispositivos que tienen diagnsticos con D mayscula. Se diferencian
de los diagnsticos regulares en el hecho de que la unidad es capaz de reconfigurar su
arquitectura despus de que un diagnstico haya detectado un fallo. El mayor efecto se
aplica en los sistemas 1oo2D que pueden reconfigurarse a funcionamiento 1oo1
cuando detectan un fallo seguro. As pues la tasa de disparos errneos de un sistema de
este tipo se reduce enormemente.
166
MANUAL DE SEGURIDAD DE PROCESOS 1
Definiciones
Diagrama de causa y Mtodo utilizado habitualmente para demostrar la relacin de las entradas de los
efecto sensores respecto a la funcin de seguridad y a las salidas requeridas. Utilizado
frecuentemente como parte de la especificacin de requisitos de seguridad. Los
puntos fuertes del mtodo son bajo nivel de esfuerzo y representacin visual clara,
mientras que los puntos dbiles son formato rgido (algunas funciones no pueden ser
representadas con diagramas C-E) y el hecho de que puede simplificar excesivamente
la funcin.
Estado de seguridad El estado del proceso despus de actuar para eliminar el peligro, y que no conlleva
ningn dao significativo.
Fallo aleatorio Fallo que ocurre en un tiempo aleatorio y que resulta de uno o ms mecanismos de
degradacin. Los fallos aleatorios se pueden predecir de forma efectiva con estadsticas
y son la base para los requisitos de clculo basados en la probabilidad de fallo a
demanda para el nivel de integridad de seguridad. Ver Fallo sistemtico.
Fallo de modo comn Estrs aleatorio que causa el fallo de dos o ms componentes simultneamente y por el
mismo motivo. Difiere de un fallo sistemtico en el hecho de que es aleatorio y basado
en la probabilidad, pero no procede conforme a un patrn fijo, predecible y de causa y
efecto. Ver Fallo sistemtico.
Fallo peligroso Fallo de un componente en una funcin instrumentada de seguridad que evita que
dicha funcin alcance un estado de seguridad cuando as se requiere. Ver Modo de
fallo.
Fallo seguro Fallo que no tiene potencial para poner el sistema de seguridad en estado de peligro o
de anomala de funcionamiento. Situacin que se da cuando un sistema o componente
relacionado con la seguridad falla a la ejecucin, de manera que se requiere la
desactivacin del sistema o la activacin de la funcin instrumentada de seguridad
cuando no hay ningn peligro presente.
167
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Fallo sistemtico Fallo que ocurre de manera predecible y determinista (no aleatoria) como resultado de
una causa concreta, y que solo puede eliminarse con la modificacin del diseo o del
proceso de fabricacin, procedimientos operacionales, documentacin u otros factores
relevantes. Dado que estos elementos no son predecibles desde un punto de vista
matemtico, el ciclo de vida de la seguridad incluye un gran nmero de procedimientos
para evitar que ocurran. Los procedimientos son ms rigurosos para sistemas y
componentes con un nivel de integridad de seguridad ms elevado. Este tipo de
errores no pueden evitarse con una redundancia simple.
FMECA Anlisis de modos de fallo, efectos y nivel de criticidad (Failure Modes Effects and
Criticality Analysis). Se trata de un anlisis detallado de los diferentes modos de fallo y
anlisis de criticidad para un equipo individual.
IEC 61508 La norma IEC que comprende la seguridad funcional de sistemas elctricos/
electrnicos/electrnicos programables relacionados con la seguridad. El principal
objetivo de la norma IEC 61508 es utilizar sistemas instrumentados de seguridad con
el fin de reducir el riesgo a un nivel tolerable siguiendo para ello los procedimientos
del ciclo de vida de seguridad generales de hardware y software, y respetando la
documentacin asociada. Desde que fue publicada en 1998 y 2000 viene siendo
utilizada principalmente por proveedores de equipos de seguridad con el fin de
demostrar que su equipo es apto para el uso en sistemas clasificados con nivel de
integridad de seguridad.
IEC 61511 La norma IEC para el uso de sistemas elctricos/electrnicos/electrnicos programables
relacionados con la seguridad en la industria de proceso. Al igual que la IEC 61508, se
centra en un conjunto de procesos relacionados con el ciclo de vida de la seguridad con
el fin de gestionar el riesgo del proceso. Fue publicada originalmente por la Comisin
Electrotcnica Internacional en 2003, y adoptada por los EE.UU. en 2004 como
ISA 84.00.01-2004. A diferencia de la IEC 61508, esta norma est orientada a los usuarios
de sistemas instrumentados de seguridad de la industria de proceso.
168
MANUAL DE SEGURIDAD DE PROCESOS 1
Definiciones
Modo (continuo) Cuando las demandas de activacin de una funcin de seguridad (SIF) son frecuentes
en comparacin con el intervalo de prueba de las funciones instrumentadas de
seguridad (SIF). Ntese que otros sectores definen un modo de alta demanda
independiente, basado en si los diagnsticos son capaces de reducir la tasa de
accidentes. En cualquier caso, el modo continuo es aquel en el que la frecuencia de
un accidente no deseado se determina esencialmente por la frecuencia de un fallo
peligroso de funcin instrumentada de seguridad (SIF). Cuando falla la funcin
instrumentada de seguridad, la demanda de accin correspondiente tiene lugar en
un intervalo de tiempo ms corto que la prueba de funcin, por lo que no es relevante
hablar de su probabilidad de fallo. Bsicamente todos los fallos peligrosos de una
funcin instrumentada de seguridad (SIF) en funcionamiento de modo continuo sern
descubiertos por una demanda de proceso en lugar de una prueba de funcin. Ver
modo de demanda baja, modo de demanda elevada y SIL.
Modo (demanda baja) (tambin modo a demanda segn IEC 61511) cuando las demandas para activar la
funcin instrumentada de seguridad son poco frecuentes en comparacin con el
intervalo de prueba de las funciones instrumentadas de seguridad. La industria de
proceso define este modo cuando las demandas para activar las funciones
instrumentadas de seguridad son inferiores a uno de cada dos intervalos de prueba
de calidad. El modo de demanda baja de la operacin es el modo ms comn en las
industrias de procesos. Al definir el nivel de integridad de seguridad para el modo de
demanda baja, el rendimiento de una funcin instrumentada de seguridad (SIF) se
mide en trminos de promedio de probabilidad de fallo a demanda (PFDavg). En este
modo a demanda, la frecuencia del evento iniciador, modificada por la probabilidad de
fallo a demanda de las funciones instrumentadas de seguridad (SIF) por la tasa de
demanda y cualquier capa de proteccin en la rama descendente determinan la
frecuencia de accidentes no deseados.
169
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Modo (demanda (tambin modo continuo segn IEC 61511) Similar al modo continuo salvo que a los
elevada) diagnsticos automticos se les asigna una contabilizacin especfica. La divisin entre
demanda elevada y modo continuo se aplica cuando los diagnsticos automticos son
ejecutados muchas veces ms rpido que la tasa de demanda de la funcin de
seguridad. Si los diagnsticos son ms lentos que sta, entonces no se contabilizan y se
aplica el modo continuo.
Modos de fallo Manera en la que falla un dispositivo. Estas maneras generalmente estn agrupadas
en uno de los cuatro modos de fallo: seguro detectado (Safe Detected, SD), peligroso
detectado (Dangerous Detected, DD), seguro no detectado (Safe Undetected, SU) y
peligroso no detectado (Dangerous Undetected, DU) segn ISA TR84.0.02.
MTTR Tiempo medio hasta la reparacin. Tiempo promedio entre la ocurrencia de un fallo y la
finalizacin de la reparacin de dicho fallo. Incluye el tiempo necesario para detectar el
fallo, iniciar la reparacin y completar completamente la reparacin.
Ocupacin Medida de probabilidad de que la zona efecto de un accidente cuente con uno o ms
receptores del efecto entre el personal. Esta probabilidad debe determinarse con la
aplicacin del enfoque terico y prctico del personal especfico de la planta.
P&ID Diagrama de tubos e instrumentacin. Muestra la interconexin del equipo del proceso
y la instrumentacin utilizada para controlar el proceso. En la industria de proceso, un
conjunto estndar de smbolos que se utiliza para preparar diagramas de proceso. Los
smbolos de instrumentos utilizados en estos diagramas estn basados generalmente
en la norma S5 de la ISA (Instrument Society of America). 1. 2. El diagrama esquemtico
principal utilizado para configurar la instalacin de un control de proceso.
Peligro Potencial de daos.
Probado en uso Base para utilizar un componente o un sistema como parte de un nivel de integridad de
seguridad (SIL) clasificado como sistema instrumentado de seguridad (SIS) que no ha
sido diseado de conformidad con IEC 61508. Requiere suficientes horas operacionales
del producto, historial de revisiones, sistemas de notificacin de fallos y datos de fallo
de campo para determinar si hay evidencia de fallos de diseo sistemtico en un
producto. IEC 61508 proporciona niveles de historial operacional requeridos para cada
nivel de integridad de seguridad.
Proteccin en caso de Caracterstica de un dispositivo en particular que hace que el dispositivo pase a un
fallos (o mejor estado seguro cuando pierde energa elctrica o neumtica.
desenergizar a
disparo)
170
MANUAL DE SEGURIDAD DE PROCESOS 1
Definiciones
Prueba de calidad Prueba de los componentes del sistema de seguridad para detectar cualquier fallo no
detectado por los diagnsticos automticos en lnea, es decir, fallos peligrosos, fallos de
diagnstico, fallos de parmetros seguidos por la reparacin de dichos fallos hasta
conseguir el equivalente a un estado nuevo. La prueba de calidad es una parte vital del
ciclo de vida de seguridad y es crtica para asegurar que un sistema consigue el nivel de
integridad de seguridad requerido a lo largo del ciclo de vida de seguridad.
Redundancia Uso de mltiples elementos o sistemas para realizar la misma funcin. La redundancia
puede implementarse con elementos idnticos (redundancia idntica) o con diversos
elementos (redundancia diversa). Redundancia primaria utilizada para mejorar la
fiabilidad o disponibilidad.
171
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
Sistema bsico de Sistema que responde a seales de entrada procedentes del proceso, equipo asociado
control de proceso y/o un operario, y que genera seales de salida que hacen que el proceso y el equipo
asociado funcionen de una manera determinada. El sistema bsico de control de
proceso (BPCS) no puede ejecutar ninguna funcin instrumentada de seguridad
clasificada con un nivel de integridad de seguridad de 1 o mayor a menos que cumpla
los requisitos probados en uso. Ver Probado en uso.
Tasa de fallos Nmero de fallos por unidad de tiempo de un elemento del equipo. Por regla general
se asume que es un valor constante. Se puede desglosar en varias categoras como:
seguro y peligroso, detectado y no detectado e independiente/normal y causa comn.
Debe prestarse atencin a fin de garantizar que la prueba de funcionamiento y el
desgaste se aborden convenientemente para que el supuesto de la tasa de fallo
constante sea vlido.
Tolerancia a fallos Capacidad de una unidad funcional de continuar ejecutando una funcin requerida en
presencia de fallos o errores aleatorios. Por ejemplo, un sistema de voto 1oo2 puede
tolerar un fallo de componente aleatorio y seguir ejecutando la funcin. La tolerancia
a fallos es uno de los requisitos especficos para el nivel de integridad de seguridad
(SIL) y figura descrita en ms detalle en IEC 61508 Parte 2, Tablas 2 y 3 y en IEC 61511
(ISA 84.01 2004) en la Clusula 11.4
Verificacin del SIL Proceso de calcular la probabilidad promedio de fallo a demanda (o la probabilidad
de fallo por hora) y las restricciones arquitectnicas para un diseo de la funcin de
seguridad con el fin de ver si cumple el SIL requerido.
172
MANUAL DE SEGURIDAD DE PROCESOS 1
Abreviaturas
Abreviaturas
Tasa de fallo, relacin del nmero total de fallos que ocurren en un perodo determinado
de tiempo
D Tasa de fallo de fallos peligrosos
DD Tasa de fallo de fallos peligrosos detectados mediante diagnsticos
DU Tasa de fallo de fallos peligrosos no detectados mediante diagnsticos
S Tasa de fallo de fallos de seguridad
1oo1 Votacin 1 de 1 (Simplex)
1oo2 1 de 2
AI Entrada analgica (Analogue Input)
ANSI Instituto Nacional Americano de Normalizacin (American National Standards Institute)
ALARP Tan bajo como resulte razonablemente practicable (As Low As Reasonably Practicable)
BMS Sistema de gestin de quemadores (Burner Management System)
BPCS Sistema bsico de control de proceso (Basic Process Control System)
C&E Causa y efecto (Cause and Effect)
CBA Anlisis de costes y beneficios (Cost Benefit Analysis)
CCF Fallo por causas comunes
COMAH Control de principales peligros de accidente (Control Of Major Accident Hazards)
DCS Sistema de control distribuido (Distributed Control System)
DD Peligroso detectado (Dangerous Detected)
DI Entrada digital (Digital Input)
DO Salida digital (Digital Output)
DU Peligroso no detectado
E/E/PES Sistema elctrico/electrnico/electrnico programable (Electrical/Electronic/Programmable
Electronic System)
ESD Cierre de emergencia (Emergency Shutdown)
ESDV Vlvula de cierre de emergencia (Emergency Shutdown Valve)
FyG Fuego y gas (Fire and Gas)
FyM Funcionamiento y mantenimiento
f/h Fallos por hora (Failures per hour)
Fallo peligroso Modo de fallo que tiene el potencial de poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento
Fallo seguro Modo de fallo que no tiene potencial para poner el sistema de seguridad en un estado de
peligro o de fallo de funcionamiento.
FC Fallo de cierre (Fail Closed)
FDS Especificacin de diseo funcional (Functional Design Specification)
FMECA Modos de fallo, anlisis de efectos y criticidad (Failure Modes, Effects and Criticality Analysis)
FO Fallo de apertura (Fail Open)
FPL Lenguaje programable fijo (Fixed Programmable Language)
FSC Capacidad de seguridad funcional (Functional Safety Capability)
FVL Lenguaje de variabilidad completa (Full Variability Language)
HAZAN Anlisis de peligros (Hazard Analysis)
HASAW Ley de Salud y Seguridad en el Trabajo (Health and Safety at Work Act (HSW))
HAZOP Estudio de peligros y operabilidad (Hazard and Operability Study)
HFT Tolerancia a fallos de hardware (Hardware Fault Tolerance)
HIPPS Sistema de proteccin de presin de alta integridad (High Integrity Pressure Protection
System)
HSE Autoridad de Salud y Seguridad en el Reino Unido (Health and Safety Executive)
I/O Entrada/salida (Input/Output)
IEC Comisin Electrotcnica Internacional (International Electrotechnical Commission)
IPL Capa de proteccin independiente (Independent Protection Layer)
ISA Sociedad Internacional de Automatizacin (International Society of Automation)
LOPA Anlisis de capas de proteccin (Layer of Protection Analysis)
LVL Lenguaje de variabilidad limitada (Limited Variability Language)
MDT Tiempo improductivo medio (Mean Down Time)
MooN M de N (caso general)
173
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
174
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
175
MANUAL DE SEGURIDAD DE PROCESOS 1
Seguridad funcional en la industria de proceso
176
MANUAL DE SEGURIDAD DE PROCESOS 1
MANUAL DE SEGURIDAD DE PROCESOS 1 Seguridad funcional en la industria de procesos/Principios, normas e implementacin
Tambin disponible:
Manual de seguridad 4 Sistemas de control relacionados
con la seguridad de maquinaria.
Esta prctica gua trata los principios relativos a la seguridad de
la maquinaria, adems de la legislacin, la teora y la prctica.
Nmero de publicacin: SAFEBK-RM002B
Seguridad funcional en
la industria de proceso
Principios, normas e implementacin
Publicacin: SAFEBK-RM003A-ES-P Marzo de 2013 2013 Rockwell Automation, Inc. Todos los derechos reservados.