5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

SIL: EL PROBLEMA NO ES EL HARDWARE, SOMOS NOSOTROS

Eduardo Cao- Techint Ingeniería. y Construcción
ecao@techint.com
Resumen. El SIL (Safety Integrity Level) de una Función Instrumentada de Seguridad (SIF) es
un parámetro relacionado con su probabilidad de falla en demanda. La falla de una SIF puede deberse a
fallas del hardware, pero más frecuentemente la causa son errores humanos. Sin embargo, parecería que
la mayor parte de los usuarios creen que sólo basta con instalar el equipamiento adecuado y la Función
de Seguridad mantendrá el SIL durante toda su vida. El Standard IEC 61511 exige que el usuario
implemente un Planeamiento de Seguridad con procedimientos para mantener las fallas humanas bajo
control. En este trabajo se explica cuáles son los aspectos a considerar en la elaboración del
Planeamiento de Seguridad.

Palabras clave: SIL, IEC 61511, Planeamiento de Seguridad, Ciclo de Vida.

1-Concepto de SIL
Hasta no hace mucho tiempo, el único estudio de seguridad de procesos que se realizaba en una planta
era el Hazop (Hazard and Operability Study) . Esta técnica es ampliamente conocida y sirve para identificar
los peligros de una instalación. Usualmente una vez identificado un peligro se realiza una evaluación del
riesgo asociado con la ayuda de una matriz de riesgo y definiendo una categoría de severidad de las
consecuencias y probabilidad de ocurrencia. Cuando el riesgo resultante es inapropiado debe reducirse
instalando capas de protección. Estas capas de protección pueden ser válvulas de seguridad, discos de
ruptura, diques de contención, protecciones instrumentadas etc.
Las protecciones instrumentadas son usualmente Funciones Instrumentadas de Seguridad (SIFs). Son
sistemas que ante una desviación peligrosa de una variable de proceso disparan una acción de seguridad,
que en la mayoría de los casos consiste en accionar una válvula de shutdown (SDV) que lleva el equipo o
proceso a un estado seguro.
Sin embargo, ningún sistema de protección está exento de fallas. Resulta claro que la confiabilidad de
un sistema de protección debe estar en relación con la magnitud del riesgo que protege. Si el riesgo
protegido es grande se requiere una protección más confiable.
En un Hazop la decisión de si una determinada protección es suficiente para llevar el riesgo a un valor
aceptable se realiza de un modo bastante subjetivo basado en la experiencia del equipo de trabajo.
Sin embargo, con la aparición a principio de siglo de las normas de seguridad funcional de la
International Electrotechnical Commision IEC 61508 y IEC 61511 se ha producido un cambio en el
enfoque requiriéndose un tratamiento más cuantitativo.
Se define el parámetro SIL como medida de la confiabilidad de una protección instrumentada. Este
parámetro se relaciona con la Probabilidad de Falla en Demanda (PFD)de una SIF.
La Probabilidad de Falla en Demanda es la probabilidad de que la SIF no actúe cuando se demanda su
acción protectora. La Tabla 1 indica la relación entre SIL y PFD

Tabla 1
PFD SIL
(Probabilidad de Falla en Demanda)
10-5 a 10-4 4
10-4 a 10-3 3
10-3 a 10-2 2
10-2 a 10-1

Así por ejemplo una SIF SIL 1 es una Función de Seguridad de la que se espera que al ser demandada
su probabilidad de falla esté entre 0,1 y 0,01 (o sea entre 10% y 1%)
Entonces surgen dos preguntas
1) ¿Cómo asignamos a cada SIF un nivel SIL de acuerdo a la magnitud del riesgo que protegen?
2) ¿Qué debemos hacer para que esa SIF logre el nivel SIL que pretendemos?
La primera de estas preguntas se resuelve fácilmente. Existen técnicas para asignar el SIL requerido a
una Función de Seguridad basadas en una evaluación cualitativa o semi-cualitativa de las consecuencias

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

de un escenario de riesgo y la probabilidad de demanda de la función. Esto se realiza con ayuda de tablas
y matrices en un ejercicio parecido al Hazop. Algunas de estas técnicas son los Gráficos de Riesgo y el
LOPA (Layers of Protection Analysis). Muchas empresas realizan este ejercicio en forma rutinaria luego
de un Hazop y conocen la mecánica.
Sin embargo, parece sorprendente que luego de haber contestado la primera pregunta son muy pocas
las personas que tienen claro que se debe hacer para satisfacer el SIL asignado. En muchos casos. el
tratamiento del tema termina allí, como si lo que sigue a continuación siempre fuera responsabilidad de
alguien más.
La realidad es que el logro y mantenimiento de los niveles SIL es una tarea que demanda un esfuerzo
importante en recursos humanos y un compromiso de toda la estructura del usuario final en una filosofía
de trabajo que priorice la seguridad de procesos durante toda la vida de la instalación.

2- Cuales son las causas de falla de una SIF?

La falla en demanda de una Función Instrumentada de Seguridad puede deberse a diversas causas que
podemos sistematizarlas en dos tipos
1-Fallas de Hardware
2- Fallas Humanas
El mayor porcentaje de fallas se debe a las del segundo tipo. Sin embargo, hemos notado que con
frecuencia parece que los usuarios de los Sistemas Instrumentados de Seguridad (SIS) solo se ocupan de
las primeras. (Probablemente porque son aquellas de las que pueden culpar a otro). A su vez las fallas de
componentes las podemos dividir en fallas sistemáticas y fallas aleatorias como se muestra en la Figura 1.
Analizaremos a continuación todos estos tipos.

2.1 Fallas de Hardware

Una Función Instrumentada de Seguridad (SIF) está compuesta por tres subsistemas. El subsistema de
detección son los sensores que detectan la desviación de la variable de proceso. Normalmente la señal del
sensor es procesada por un ejecutor de lógica (usualmente un PLC) que es el segundo subsistema. El tercero
es el elemento final que actúa para llevar el proceso a un estado seguro (por lo general una válvula con su
actuador, solenoides y demás componentes necesarios para su trabajo). La falla de cualquiera de estos tres
subsistemas en el momento que la SIF es demandada provocará la falla de la función.
La norma IEC 61508 es un Standard dirigido básicamente a los fabricantes de equipamiento usado en
las Funciones Instrumentadas de Seguridad. Es una norma genérica para cualquier equipo utilizado en
aplicaciones de seguridad, no solamente en plantas de proceso sino por ejemplo en máquinas herramientas,
ascensores, material ferroviario, maquinaria agrícola etc. Contempla dos tipos de fallas
-Fallas Sistemáticas
-Fallas aleatorias
Y presenta la forma de manejar ambos tipos

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

2.1.1 Fallas Sistemáticas

Las fallas sistemáticas son aquellas que afectan a todos los componentes de un mismo modelo cuando
se someten a determinada condición de servicio. Son debidas a defectos de fabricación o diseño tanto del
hardware como del software embebido. Por ejemplo, un bug en el sistema operativo de un PLC o un
transmisor inteligente, una incorrecta selección del material de un resorte, mala disipación de calor de un
circuito, componentes electrónicos no aptos para determinada condición de servicio etc.
La norma IEC 61508 define medidas que los fabricantes deben tomar tanto en el diseño del software
como del hardware para evitar este tipo de fallas. Son medidas muy técnicas y no es fácil interpretarlas
para un usuario. Estas medidas dependen del nivel SIL en que va a ser utilizado el elemento. Como el
usuario final no tiene modo de saber si el fabricante de un elemento cumplió con estas medidas, aparecen
los entes certificadores. Se trata de empresas de reconocido prestigio que realizan una auditoría de los
procesos del fabricante y emiten un certificado declarando que un determinado elemento cumple con los
requisitos de la norma para un determinado nivel SIL. Esto es lo que se llama Capacidad Sistemática. El
valor del certificado está asociado al prestigio de la empresa que lo emite y son el integrador del sistema o
el usuario los responsables de su aceptación.
Se supone que el certificado avala que el componente está libre de fallas sistemáticas para ser usado en
una función de determinado SIL.
Como hemos dicho, el standard IEC 61508 está dirigido a fabricantes de equipamiento de seguridad
para una gran variedad de aplicaciones. En la industria de procesos, los proveedores de equipamiento para
usar en sistemas instrumentados de seguridad suelen ser empresas de primer nivel que venden sus
instrumentos y equipos en todo el mundo. Resulta difícil pensar que pudiera existir una falla sistemática
en su diseño o construcción que aún no haya sido detectada. Por tal motivo, tener los certificados de
capacidad sistemática de sus componentes es quizás el menos importante de los requisitos que debe reunir
una SIF para lograr un determinado nivel SIL.
Sin embargo, existen personas que piensan que éste es el único requisito y luego de la asignación de
SIL lo único que se debe hacerse es pedirle al proveedor el certificado de capacidad sistemática de los
componentes.

2.1.2 Fallas aleatorias

Las fallas aleatorias son aquellas que se presentan ocasionalmente en algún equipo sin que pueda
identificarse una causa. Sin duda si algo falló alguna razón debe haber. Quizás una pieza defectuosa, falla
en un material, error de armado etc. Pero si existen equipos similares que sujetos a las mismas condiciones
de operación y servicio se comportan satisfactoriamente la falla se considera aleatoria. Por lo tanto, este
tipo de falla se maneja con un tratamiento estadístico.
El parámetro más importante para calcular la probabilidad de falla en demanda de una SIF debido a
fallas de sus componentes es el intervalo de test (TI).
La confiabilidad de cualquier sistema de seguridad depende de la frecuencia con que se lo ensaya. Si
tenemos en nuestra casa una alarma contra robo y ayer realizamos una prueba y vimos que funciona
satisfactoriamente podemos estar confiados en que si sufrimos un intento de robo la alarma va a funcionar.
¿Pero qué pasa si hace dos años que no hacemos una prueba? ¿Podemos tener la misma certeza?
Seguramente no. Lo mismo ocurre con las SIFs.
Se presupone que con un cierto intervalo de tiempo TI el usuario realiza un test de cada SIF
suficientemente completo como para detectar todas las fallas de componentes que puedan afectar el
comportamiento de la misma, y que luego todas las fallas son reparadas restituyéndose todos sus
componentes al estado de tan bueno como nuevo.
Además, cada componente se puede caracterizar por un parámetro estadístico llamado tasa de falla
(usualmente designado con la letra λ). Este representa las fallas aleatorias por hora de servicio esperables
en el componente. Normalmente los certificados de capacidad sistemática emitidos por los entes
certificadores incluyen valores recomendados de tasa de falla obtenidos por cálculo con una técnica
llamada FMEDA (Failure Modes, Effects and Diagnostic Analysis) y también existen bancos de datos para
componentes genéricos.
Con diversas técnicas matemáticas es posible calcular la probabilidad de falla en demanda debido a
estas fallas aleatorias a partir del intervalo de test, las tasas de falla de los componentes individuales y las
arquitecturas de votación de transmisores y elementos finales. El resultado del cálculo debe estar dentro

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

de los límites que definen el rango del SIL asignado a la SIF. De lo contrario debe modificarse el intervalo
de test o agregar redundancia en los componentes.
En algunos de los proyectos que realizamos, como parte de la tarea de ingeniería se solicita la
realización de estos cálculos. Pero parecería que muchas personas tienen el equivocado concepto que una
vez efectuados puede darse por supuesto que los testeos periódicos serán realizados con la frecuencia que
haya sido definida y esto garantiza que la probabilidad de falla de la SIF se encontrará dentro del intervalo
correspondiente al SIL requerido sin tener en cuenta la mayor fuente de error que constituyen las fallas
humanas.

2.2 Fallas humanas

La mayor parte de las fallas de una SIF no se deben a fallas de componentes sino a errores humanos,
Citaremos algunos a modo de ejemplo.
2.2.1 Errores en la transmisión de información
Desde que se realiza el estudio Hazop hasta que el sistema de seguridad está funcionando intervienen
una serie de actores: ingenieros de proceso, ingenieros de instrumentos, compradores, proveedores,
programadores de software, instaladores y operadores del sistema. ¿Podemos estar seguros que la cadena
de transmisión de información haya funcionado correctamente y el sistema responda a las intenciones de
quienes realizaron los estudios iniciales? Una circunstancia frecuente es que la persona que configura el
software no haya recibido información suficiente y deba tomar decisiones por si mismo sin disponer de los
conocimientos necesarios.
Otras veces en un Hazop se identifican peligros que se supone se encuentran suficientemente
protegidos, pero con el tiempo pueden introducirse modificaciones en planta. Por ejemplo, deshabilitando
una línea que en algún escenario cumplía una función de seguridad. Pero si la información del Hazop no
fue correctamente transmitida dicho escenario puede pasar desapercibido para alguien no suficientemente
informado.

2.2.2 Errores de Ingeniería

Existen innumerables fuentes de error en el proceso de realizar la ingeniería de un Sistema
Instrumentado de Seguridad. Desde una errónea definición de las condiciones de servicio debidas a los
fluidos manejados (corrosión, ensuciamiento etc.) o un error en las unidades de una planilla. .El éxito en
la actuación de una SIF normalmente está asociado a cálculos de proceso que determinan el tamaño de las
válvulas de seguridad, los tiempos requeridos para el cierre de las válvulas de shutdown, los set point de
los disparadores de lógica. En muchos casos la actuación de una función de seguridad es requerida como
consecuencia de la falla de una válvula de control y la selección de un CV excesivo para la válvula de
control puede modificar la capacidad requerida de una SIF. Suele ocurrir que a lo largo de la vida de la
planta se introduzcan modificaciones como resultado de revampings o ampliación de capacidad. Puede
ocurrir que al realizarse la ingeniería del revamping se pasen por alto escenarios asociados a la capacidad
de los componentes instalados.

2.2.3 Errores de Instalación y mantenimiento

Este tipo de errores es importante porque una falla en los procedimientos de calibración o en los
instrumentos utilizados o típicos de montaje inadecuados pueden afectar a muchos elementos similares

2.2.4 Violación de procedimientos

Podrían citarse, por ejemplo, decisiones adoptadas por personas que carecen de la información
adecuada para tomarlas. Muchas veces se prioriza el mantenimiento de la producción asumiendo riesgos
desconocidos. ¿Estamos seguros que la persona que decide una estrategia de operación ante una
emergencia conoce los riesgos que se identificaron en el Hazop? Con frecuencia vemos que las decisiones
son tomadas por las personas más activas o con más autoridad, pero ¿son las más capacitadas para
tomarlas? Por ejemplo ¿es competencia de un gerente de proyecto decidir cuándo se debe re-abrir un
estudio de Hazop o debería haber un procedimiento que lo indique? Hemos tenido casos en los que, como

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

una recomendación de Hazop era difícil de implementar, se re abrió el estudio con la participación de otras
personas para cambiar la recomendación.
Este es otro tema a considerar ¿Quién selecciona a los participantes de un Hazop? Muchas veces el
equipo de trabajo se constituye con las personas que tenían disponibilidad de tiempo en las fechas de
reunión. ¿Pero estas personas tienen la autoridad suficiente como para decidir cuándo un riesgo es
tolerable? Los procedimientos deben definir quién es el responsable de armar el equipo.

2.2.5 Falta de capacitación

Cada persona que realiza una tarea debe estar capacitado para ella. ¿Se tiene control sobre esto? ¿Cómo
sabemos si el personal que trae el contratista de montaje está capacitado? Si se contrata la realización de
un estudio cuantitativo de riesgo porque lo piden nuestras especificaciones ¿sabemos si la persona que lo
recibe está capacitado para interpretarlo? . Por lo general las empresas más importantes tienen personal
capacitado en temas de Seguridad Funcional, pero estas personas no cubren las funciones en todos los
proyectos, y muchas veces ocurre que las decisiones quedan en manos de personas que no tienen adecuada
formación en el tema. Por eso la IEC 61511 establece que cada persona que participa de alguna actividad
relacionada con el Sistema de Seguridad debe demostrar tener la capacitación adecuada y los
procedimientos de la empresa deben definir cuáles son los requisitos a cumplir para poder demostrar su
idoneidad. El personal de operaciones debe conocer cómo funciona el SIS, los riesgos que protege, que
acciones debe tomar ante una alarma, cómo funcionan los bypasses. Una inadecuada respuesta del operador
a una situación de emergencia puede ser causa de accidentes.

2.2.6 Instalaciones inadecuadas y características propias del sitio

Cada sitio donde funciona un sistema de seguridad puede tener características propias que afecten el
funcionamiento de los equipos, como mala calidad de aire de instrumentos, picos de tensión, mala calidad
de puesta a tierra, condiciones de humedad o polvo inusuales, corrosión etc. Una mala gestión en el manejo
de estos temas puede potenciar la ocurrencia de fallas aleatorias.

3 Como manejar esto?

Como se ve las fuentes de falla por errores humanos son muchas, y algunas de ellas pueden dar lugar
a fallas aleatorias o sistemáticas afectando a todos los elementos de una misma clase. Se ha comprobado
que el mayor porcentaje de fallas de los lazos de control no son fallas de hardware sino fallas humanas.
Por lo tanto, más importante que ocuparse de las fallas de hardware es tener un sistema de trabajo que
permita mantener este tipo de fallas bajo control. El control de estas fallas está contemplado en el Standard
IEC 61511.
A diferencia de la IEC 61508 que está dirigida a los fabricantes de equipos, éste es un Standard para
los usuarios e integradores de los Sistemas Instrumentados de Seguridad y establece la obligatoriedad de
implementar un Sistema de Gerenciamiento de Seguridad con procedimientos escritos para cada una de
las actividades vinculadas con el sistema de seguridad con la intención de evitar la ocurrencia de fallas
como las mencionadas. El conjunto de estos procedimientos constituye el Planeamiento de Seguridad.
(Nos referiremos a él como Planeamiento)
3.1 El Ciclo de Vida del SIS
El Standard define que todas las actividades vinculadas al Sistema Instrumentado de Seguridad deben
llevarse a cabo según un ordenamiento en etapas llamado Ciclo de Vida y reconoce las siguientes etapas:
1-Estudio de Riesgos y Peligros (típicamente estudio de Hazop)
2-Asignación de las funciones de seguridad a capas de protección (Asignación de SIL)
3-Especificación de Requerimientos de Seguridad
4-Ingeniería del Sistema de Seguridad
5-Instalación, Comisionado y Validación del SIS
6-Operación y Mantenimiento del SIS
7-Modificación
8-Decomisionado

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

Estas etapas deben ejecutarse en el orden establecido de modo que el producto de cada etapa sirva de
input para la siguiente y deben existir procedimientos escritos para realizar cada una de ellas.
Además, se establece que cada una de estas etapas debe ser verificada. Esto significa que debe revisarse
lo actuado para detectar si se han cometido errores. Por ejemplo, luego de realizado el Hazop debería
someterse el estudio a un revisor independiente, y del mismo modo en cada una de las etapas.
Además, deben realizarse evaluaciones (assessments) en etapas específicas del ciclo para comprobar
que los procedimientos se encuentran en vigencia y que no se han degradado a través del uso.

3.2 Procedimientos del Planeamiento

El Standard define que deben existir procedimientos escritos para la realización de cada una de las
actividades del Ciclo de Vida. Los procedimientos deben indicar
Los responsables de su ejecución y la forma de demostrar su capacitación para la tarea
El procedimiento a seguir para la realización de la actividad
El modo de documentar y distribuir los resultados
El procedimiento para su verificación
El procedimiento para realizar modificaciones
Veremos brevemente algunos aspectos importantes que deben contener los procedimientos de cada una
de las etapas del Ciclo de Vida del SIS

3.2.1 Estudio de riesgos y peligros

Usualmente esta actividad se realiza con la técnica del Hazop.
El procedimiento debe definir como se integra el equipo de trabajo y como comprobar la capacitación
de cada uno de sus integrantes y la responsabilidad que se les asigna.
Deberá indicar en que etapas de la vida del sistema debe ser revisado y cuál es el procedimiento para
su modificación.
Debe incluir la matriz de riesgo que se utilizará, la que debe estar consensuada a nivel corporativo, y
debe incluir guías para la asignación de las categorías de frecuencia y severidad. Es importante destacar
que la matriz de riesgo debe reflejar el criterio de aceptación de riesgos del usuario final de la instalación
(el dueño de la planta) que es quien va a convivir con el riesgo durante toda su vida útil
Deberá indicar como se realiza el seguimiento de las recomendaciones.

3.2.2 Asignación de las funciones de seguridad a capas de protección

El SIL que se asigna a una función de seguridad depende de la existencia de otras protecciones no
instrumentadas que pueden proteger el mismo escenario.
Por ejemplo, si un escenario de riesgo surge de la falla de un lazo de control de presión que podría
provocar la rotura de un recipiente, y decidimos protegerlo con una SIF, el SIL asignado a ésta será menor
si adicionalmente existe una válvula de alivio dimensionada para este escenario. Por lo tanto, la asignación
del SIL a las funciones de seguridad requiere la evaluación de la confiabilidad de todas las capas de
protección existentes.
La mayoría de los métodos empleados, al igual que para el Hazop, utilizan matrices o gráficos que
cuantifican el riesgo con ayuda de parámetros que caracterizan la severidad y frecuencia probable de
ocurrencia de cada escenario y también se requiere de guías para asignación de estos parámetros. Pero
además se requieren lineamientos para asignar los factores de reducción de riesgo a las capas no
instrumentadas y cada empresa puede tener sus propios criterios.
Esto es lo que se llama calibración del método y debe estar incluido en los procedimientos.

3.2.3 Especificación de Requerimientos de Seguridad (SRS)

La Especificación de Requerimientos de Seguridad (SRS) es una etapa obligatoria en el Ciclo de Vida
del SIS. Es un documento que debe contener toda la información necesaria para poder efectuar la ingeniería
del sistema y de todas sus funciones de seguridad. Para cada SIF se debe definir:
-El estado seguro del proceso.

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

-El tiempo en el que la función de seguridad debe llevar el proceso a este estado seguro
-La frecuencia de demanda
-La frecuencia tolerada de fallas espurias
-El nivel SIL que debe tener la función
-La posibilidad de by passear la función por razones de operación o de mantenimiento y la política para
implementarlos (autorización, validez, señalización) y las medidas compensatorias que se deben adoptar
para permitir la operación en esos casos.
-Requerimiento de confirmación de actuación (por ejemplo, a través de fines de carrera de válvulas) y
procedimiento a seguir en caso de falla
-Los tiempos requeridos para reparación o reposición en caso de fallas de hardware
-El procedimiento para resetear una vez actuada.
-las necesidades de dispositivos auxiliares (por ejemplo, botones de disparo manual, señalización
auxiliar, modos de comunicación con el DCS.

Se trata del documento más importante durante la Ingeniería del Sistema de Seguridad y contra este
documento debe validarse el diseño del SIS. Sin embargo, hemos visto casos en los que este documento ni
siquiera figura entre los elaborados de un proyecto. Los procedimientos deben definir como participarán
los sectores interesados (por ejemplo operaciones) en su elaboración y verificación.

3.2.4 Ingeniería del Software y del Hardware

En esta etapa se deben cumplir ciertos requisitos que se refieren al hardware y que algunas personas
consideran que es lo único a tener en cuenta para el logro del SIL. Para cada SIF se requieren tres
condiciones:
Capacidad Sistemática de los elementos de hardware.
Cumplir con una mínima tolerancia a falla de hardware
Cuantificación de las fallas aleatorias de acuerdo al SIL asignado

Capacidad Sistemática
Este tema ya fue mencionado al comienzo. Se refiere a los certificados emitidos por las empresas
certificadoras. Cuando no se disponga de dichos certificados se permite la inclusión de un determinado
elemento de hardware en una SIF si existen suficientes antecedentes de su performance basados en su uso
previo (prior use).
Pero para que se pueda alegar la experiencia en prior use la IEC 61511 exige una serie de requisitos
que dependen del nivel SIL en que se lo desee utilizar
-Extensa experiencia de operación documentada (aunque no necesariamente en aplicaciones de
seguridad) (IEC 61511-1 11.5.3.2)
-Considerar la calidad del fabricante sus sistemas de aseguramiento de calidad
-Adecuada identificación y especificación de todos sus componentes
-Demostrar la performance del subsistema en similares ambientes físicos
Para ello, el usuario debe llevar una lista con los elementos aprobados para su uso en la que se registren
todas sus fallas y se eliminen aquellos elementos cuya aptitud no haya sido satisfactoria

Cuantificación de las fallas aleatorias (random)

Esto es lo que normalmente se conoce como “cálculo del SIL”. Consiste en verificar a través de cálculo
que la probabilidad de falla en demanda de la SIF va a estar dentro del intervalo que corresponde al SIL
asignado. Este cálculo se hace teniendo en cuenta los siguientes parámetros
- Intervalo de testeo de cada uno de los componentes de la SIF
- Cobertura de diagnóstico de los tests periódicos
- Frecuencia de demanda de la SIF
- Tasa de falla propia de cada componente (nos referiremos a esto más abajo)
- Arquitecturas de votación de los elementos instalados
- Probabilidad de fallas por causa común en elementos similares
- Capacidad de autodiagnóstico de los elementos instalados
- Tiempos de reparación y reposición en caso de falla detectada

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

Todos estos parámetros deben corresponder a la operación de la planta. La norma IEC 61511 (5.2.5.3)
indica que deben existir en la empresa procedimientos para analizar si los parámetros de confiabilidad
usados en el diseño están de acuerdo con los observados durante la operación y estos procedimientos deben
definir las acciones correctivas en caso contrario.
Un parámetro particularmente importante es la tasa de falla propia de cada componente. La IEC 61511
en su clausula 11.9.3 dice que los datos de confiabilidad que se usan para calcular las tasas de falla deben
ser creíbles, traceables, documentados, justificados y estar basados en feedback de campo de equipos
similares usados en similares ambientes operativos.
Las fuentes de información a las que se recurre para obtener los datos de tasa de falla son
-datos recogidos por usuarios
-datos de fabricantes
-bases de datos de confiabilidad públicos o semipúblicos
-cálculos teóricos con técnicas como FMEDA (usualmente incluidos en los certificados de capacidad
sistemática)
Pero sólo la primera de estas fuentes permite garantizar el cumplimiento del requisito de similar
ambiente operativo. Estos datos no pueden ser suministrados por el integrador del sistema o el contratista
de ingeniería porque carece de la información necesaria. Por eso nuevamente se recalca la necesidad de
que cada usuario disponga de sus propias tasas de falla.

Con todos los datos incluidos más arriba se puede calcular la PFD de cada función de seguridad
recurriendo a diversas técnicas matemáticas incluyendo
-diagramas de confiabilidad
-árboles de falla
-ecuaciones simplificadas
-modelos de Markov
Los procedimientos del Planeamiento de Seguridad deben asegurar que los cálculos puedan ser
verificados, por lo tanto, deben especificar las técnicas y los softwares que se usarán y la forma de
documentar estos cálculos.

Tolerancia a falla de hardware

Es el tercero de los requisitos referidos al hardware que fija la norma. El cálculo de la PFD a veces
arroja resultados excesivamente optimistas como consecuencia de haber adoptado en el cálculo tasas de
falla irreales o haber definido intervalos de testeo difíciles de cumplir. Por ese motivo se establece que para
determinado nivel SIL sea obligatorio la duplicación de algunos componentes con lógicas de votación para
prevenirse ante una falla del hardware. Los requerimientos dependen de la robustez de los datos usados
para definir las tasas de falla propia que se usaron para hacer los cálculos

Desarrollo del software de aplicación

Durante la etapa de ingeniería se realiza el desarrollo del programa de aplicación del SIS. Las lógicas
de seguridad de un SIS pueden consistir en enclavamientos simples, pero también puede ser necesario
programar lógicas más complejas. Por ejemplo, el SIS puede ejecutar las lógicas de protección de un horno
de proceso. En ese caso, el sistema deberá supervisar toda la operación del encendido. Esto requiere de
una serie de pasos como el barrido con aire, la verificación de estanqueidad de las válvulas de combustible,
el encendido de los pilotos, el encendido de los quemadores principales y tomar acción ante diversas
circunstancias como falta de llama en uno o más pilotos o uno o más quemadores. Durante esta secuencia
el sistema debe tomar decisiones basadas en el resultado del paso anterior y la respuesta de cada válvula a
los comandos recibidos. Entonces pueden resultar programas de relativa complejidad con diversos caminos
lógicos y diferentes respuestas ante cada situación.
Usualmente la tarea de configurar el PLC encargado de ejecutar las lógicas recae en un especialista en
configuración que es un experto en el sistema, pero no en el proceso.
Los procedimientos del Planeamiento de Seguridad deben asegurar que la información recibida por el
programador a través de las SRS sea comprensible, completa, que no haya ambigüedades, y que sea
consistente. Deben definir como se realizará la interacción entre el programador y los expertos de proceso
durante la etapa de configuración para evitar reprogramaciones.
La configuración del SIS, como cualquier etapa del Ciclo de Vida está sujeta a verificación como se
verá más adelante, pero para esta etapa en particular la norma exige que la verificación sea llevada a cabo
por alguna persona que no haya estado involucrada en el desarrollo del programa. El Planeamiento de

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

Seguridad debe indicar quien es la persona que llevará a cabo la verificación y que métodos se emplearán
para garantizar que el programa cumple los objetivos de la SRS y que todas las partes del programa hayan
sido verificadas, como también debe verificarse el timing y la secuencia de ejecución. El Planeamiento de
Seguridad debe especificar como deben documentarse los resultados de la verificación y las acciones a
seguir en caso de no conformidad.

FAT (Factory Acceptance Test)

El FAT es un ensayo que se realiza sobre el ejecutor de lógica una vez terminada la configuración y
antes de que el equipo sea llevado a planta. No está descripto como una etapa del ciclo de vida y podría
considerarse como parte de la validación. La ventaja de realizar este ensayo es que resulta más fácil corregir
los problemas cuando el equipo aún no ha salido de fábrica y además se puede adelantar tareas que sería
más difícil de ejecutar en el sitio durante el montaje de la planta.
En este test se chequea la funcionalidad de las funciones como “caja negra” pero además se ensayan
las interfaces, se prueba el funcionamiento de las SIFs en condición degradada, el comportamiento ante
corte de energía, la confiabilidad, disponibilidad e integridad de cada SIF.
Para poder realizar el FAT debe haber un procedimiento escrito de cómo se llevará a cabo.
El planeamiento de Seguridad debe indicar quien es el responsable de desarrollar el procedimiento y
quienes deberán estar presentes indicando sus responsabilidades.
Resulta sorprendente comprobar que siendo tan grande la responsabilidad de esta tarea y de la
validación del sistema, en pocos casos hemos encontrado procedimientos que definan claramente quien
deberá liderar el equipo encargado de la validación y cómo debe integrarse el equipo. Con demasiada
frecuencia el liderazgo es asumido por las personas más pro activas o que tienen más tiempo disponible.
Es necesario integrar esta etapa con personal de ingeniería de procesos y de operación, y la tarea integrarse
dentro del programa de capacitación del personal de planta.

3.2.5 Instalación y comisionado

Los procedimientos deben indicar cómo seleccionar al Contratista que instalará el SIS. La IEC 61511
establece que cualquier proveedor que suministre equipos o servicios a una organización responsable de
una o más fases del Ciclo de Vida del SIS debe tener un Sistema de Calidad y deben existir procedimientos
para demostrar que dicho sistema es adecuado.
En cuanto al comisionado, esta tarea se realiza en la obra y por lo general está incluida dentro de los
procedimientos generales del comisionado. Durante el comisionado del sistema se controlará la puesta a
tierra, la confiabilidad del suministro eléctrico, la calibración y configuración de los elementos de campo,
las interfaces y los sistemas de comunicación, la no existencia de daños físicos, etc.

3.2.6 Validación (SAT= Site Acceptance Test)

Como ya se indicó podría considerarse el FAT como parte de esta tarea. El SAT es la comprobación
final previa a la puesta en marcha de que el sistema se encuentra listo y sin fallas. La planificación del SAT
debe realizarse cuidadosamente previendo todos los elementos que serán necesarios. Por ejemplo,
instrumentos calibrados patrones para comprobar la exactitud de los instrumentos instalados, necesidad de
elementos de detección de fugas para chequear estanqueidad de válvulas, necesidad de software de
simulación etc.
Se debe cuidar que sean validados todos los modos de operación: arranque, paro normal, emergencia,
operación en modo manual, operación en by pass, en falla, reset, comunicación con el sistema de control
de la planta o BPCS (Basic Process Control System).
Deben estar claramente establecidos los criterios de tolerabilidad (pasa-no pasa).
El Planeamiento de Seguridad debe indicar muy cuidadosamente qué documentos se elaborarán para
la aceptación final del sistema y para referencias futuras.
Debe preverse en el Planeamiento cuáles serán las acciones a seguir en caso de discrepancia entre los
resultados obtenidos y los esperados. Esto debe incluir la toma de decisiones acerca de si continuar la
validación o emitir una solicitud de cambio y retornar a una etapa anterior del ciclo de vida.
Es importante recalcar que siendo una etapa del Ciclo de Vida, la validación debe ser revisada y debe
existir un procedimiento para hacerlo-

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

3.2.7 Operación y mantenimiento

El objetivo de esta etapa es que el nivel de integridad de las funciones de seguridad no se degrade con
el tiempo durante la operación de la planta.
Se suele decir que la duración de las etapas del Ciclo de Vida de un Sistema de Seguridad cumple la
regla de las tres 20. Esto es que las etapas de diseño llevan 20 semanas, las etapas de instalación y puesta
en marcha 20 meses y la etapa de operación 20 años.
Por lo tanto, el 90% del tiempo del Ciclo de Vida corresponde a la fase operativa y debemos ser muy
cuidadosos en hacer las cosas bien en esta etapa. De lo contrario muy fácilmente se puede echar a perder
un muy buen trabajo realizado en las etapas anteriores.

Habíamos dicho que el parámetro más importante en el cálculo de la PFD de una función de seguridad
es el intervalo de test.
Los gráficos de la Figura 2 indican cómo va creciendo en el tiempo la probabilidad de falla de una
función de seguridad. A medida que el tiempo transcurre, crece la probabilidad que alguno de los
componentes del sistema haya experimentado una falla no detectada y por lo tanto en el momento que
necesitemos que la SIF actúe no lo hará.

Pero admitimos que cada tanto tiempo (un período TI = test interval) se realizará una verificación
completa de la SIF y se revelarán todas sus fallas y se procederá a reemplazar o reparar los elementos
dañados dejando a la función en un estado de “tan bueno como nuevo”.
El gráfico de la Figura 2a muestra la evolución de la Probabilidad de falla PF(t)de una función en la
que se realiza ese testeo cada 4 años y se resetea a cero luego de cada test. En la Figura 2b se indica el
efecto de realizar el test cada año. La PFD es la probabilidad que la función se encuentre en falla en el
momento de producirse la demanda. Como no sabemos en qué momento ésta se producirá se debe tomar
el promedio a lo largo del tiempo El SIL de una función de seguridad está en relación inversa con la
probabilidad de falla, por lo tanto, vemos que cuanto mayor tiempo pase sin realizar ese testeo el SIL de
la función disminuye.

Es decir que si no se realiza el testeo periódico con la frecuencia que se asumió al realizar la ingeniería
de la función nos encontraremos con que el SIL de nuestra función será menor que el que debería.
Este es un concepto que debe ser entendido claramente. El SIL de una Función de Seguridad no es algo
que se logra con una buena ingeniería y una vez instalada la Función lo va a mantener durante toda la vida,
como podría ser por ejemplo la presión de diseño de un recipiente. Se puede realizar la mejor ingeniería e
instalar los mejores equipos del mercado, pero si no se cumplen las prescripciones de la norma en la fase
de operación el SIL se degradará rápidamente.
Para cada SIF debe existir un procedimiento escrito indicando como se realizará el test periódico. Este
procedimiento debe definir qué y cómo se debe probar.

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

No basta comprobar que la válvula cierra ante una demanda. En muchos casos es importante la
velocidad de cierre, la cual debe monitorearse. En otros casos es importante chequear también la
estanqueidad al cierre, por lo que deben instalarse elementos para medirla.
Si en el cálculo de la PFD se tomó crédito de la capacidad de autodiagnóstico de los instrumentos, el
chequeo debe incluir también el correcto funcionamiento de las rutinas de autodiagnóstico.
Estos test deben formar parte de los planes de mantenimiento y los procedimientos para ejecutarlos
deben estar implementados y haberse ensayado antes de poner en marcha la planta. De ese modo nos
aseguraremos que el personal de mantenimiento se siente cómodo con ellos y los puede realizar en un
tiempo razonable. Además, podría ser una forma de detectar eventuales fallas peligrosas ocultas antes de
comenzar la operación.
El procedimiento de test debe indicar claramente cuáles son los criterios de aceptación y, sobre todo,
que se debe hacer en caso que el test no sea satisfactorio. ¿Se puede continuar con la operación de la planta
o es necesario parar hasta resolver el problema? ¿Puede seguir operando bypasseando esta SIF? ¿Quién
está autorizado para tomar la decisión?
En las SRS debe estar definido en qué condiciones una SIF puede sacarse de servicio y si deben
adoptarse medidas compensatorias mientras la Función está fuera de servicio
La política de by pass de funciones de seguridad debe haberse discutido y definido durante la
confección de las SRS. Es imprescindible que esta política sea respetada rigurosamente durante la
operación. Deben existir procedimientos escritos para ser aplicados durante la operación en by pass
indicando como se lo controla administrativamente y como se deshabilita. Estos procedimientos deben ser
comprendidos y aplicados por todo el personal de operaciones.
Uno de los parámetros que se tienen en cuenta para calcular la PFD, y por lo tanto el SIL, de una
función de seguridad es el tiempo de restauración de cada componente de la función cada vez que se debe
sacar de servicio por una falla. Los planes de mantenimiento deben permitir cumplir con estos tiempos
porque de lo contrario aumentará la probabilidad de falla en demanda. Este tiempo incluye no sólo el
trabajo de recambio sino también la gestión de los elementos a reemplazar. Por ejemplo, suele adoptarse
que el tiempo de restauración de un transmisor es 24 horas, pero si la falla ocurre un viernes a la noche ¿se
podrá cumplir con este tiempo? ¿Qué se debe hacer si no podemos cumplir?
El Planeamiento de Seguridad debe incluir procedimientos para la reparación, validación luego de cada
reparación y reporte de fallas.
Un aspecto importante que debe considerar el Planeamiento de Seguridad son los planes de
capacitación del personal de Operación y Mantenimiento. Se debe asegurar que todo el personal entienda
como funciona el SIS, que riesgos está protegiendo, como operan los by passes y cuando se aplican, que
se debe hacer ante una alarma de diagnóstico etc.
Deben realizarse cursos de capacitación con evaluación de resultados, en especial cuando se instalan
equipos nuevos
Hemos dicho antes, que deben existir procedimientos de recolección de datos de falla del sistema. Estos
procedimientos deben incluir registros de fallas peligrosas y espurias, registros de intervenciones y
mantenimiento, resultados de test periódicos, alarmas reales y falsas alarmas, demandas de actuación. Los
procedimientos deben garantizar que el personal de Operación y Mantenimiento sepa cómo registrar estos
eventos y sea diligente en esta tarea.

3.2.8 Decomisionado

El decomisionado del SIS también debe estar cubierto por un procedimiento y debe haberse realizado
un estudio del trabajo a realizar, de sus riesgos, del impacto posible sobre otras unidades y de la seguridad
durante la realización de los trabajos

4 Verificaciones

La norma IEC 61511 establece que cada una de las etapas del Ciclo de Vida debe ser verificada. Esto
significa, examinar en detalle el trabajo realizado y verificar que el resultado cumple con los objetivos.

Obviamente estas verificaciones deben estar previstas en el Planeamiento de Seguridad para cada una de
las etapas y el Standard pone especial énfasis en el desarrollo del programa de aplicación.

Para cada una de las etapas, los procedimientos deben definir:

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

- Las actividades de verificación que se realizarán

- Cuando esas actividades deben tener lugar
- Las personas, Departamentos u Organizaciones que deberán participar y su nivel de
independencia
- Identificación de los ítems a verificar
- Exactitud de los datos
- Manejo de no conformidades
- Herramientas de soporte necesarias
- Lo completo de la implementación y trazabilidad de resultados
- Auditabilidad de la documentación
- Testeabilidad del diseño
- Distribución de la documentación

En caso de ser necesario realizar testeos, el planeamiento debe incluir una descripción completa
indicando sus criterios de aceptación.

5-Evaluaciones de Seguridad Funcional (FSA = Functional Safety Assessments)

Además de las verificaciones que se realizan luego de cada etapa, la norme prevé la realización de
Evaluaciones en determinados momentos del Ciclo de Vida con el objeto de confirmar que se están
cumpliendo los procedimientos del Planeamiento de Seguridad. Es como una auditoría de calidad, pero
el standard reserva el término auditoría para aquellas que se realizan en la fase de Operación.

En estas Evaluaciones de Seguridad Funcional (FSAs), a diferencia de las verificaciones, no se entra en

el detalle de lo actuado, sino que lo que se analiza es si los procedimientos se encuentran en vigencia. Por
ejemplo, no se revisa el cálculo de la PFD, pero sí se revisa quien lo realizó, si tenía la capacitación
adecuada, si se usaron las técnicas y la información prevista, si los resultados fueron documentados y
comunicados según procedimientos etc.

El Standard IEC 61511 recomienda realizar estas evaluaciones en las siguientes etapas

-Al terminar de confeccionar las SRS

-Al completar el diseño del SIS

-Luego de la instalación, comisionado y validación

-Después de haber ganado experiencia en la operación y mantenimiento

-Luego de cada modificación

El Planeamiento debe definir como se realizarán estas evaluaciones indicando

-Como se designará el equipo que realizará estas evaluaciones. Los integrantes deben tener la experiencia
técnica y operativa necesaria y debe incluir al menos una persona de nivel senior no involucrada en el
equipo de diseño o en la operación y mantenimiento del SIS

-El alcance de la FSA

- Los recursos necesarios

-El procedimiento a seguir

-La información que debe generarse

-Los métodos para revalidar el FSA luego de cada modificación

El equipo de FSA revisará todo el trabajo llevado a cabo en todas las fases de Ciclo de Vida anteriores al
momento de realizarse el estudio y que no hayan sido cubiertos por otras FSAs previas.

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ

 5JASP-5tas Jornadas Argentinas de Seguridad de Procesos

El Planeamiento permitirá asegurar que el equipo de trabajo obtenga toda la información que requiera de
los distintos niveles de la organización y de todas las personas u organizaciones que hayan participado de
las etapas previas.

6 Conclusión

Como vemos, el cumplimiento del Standard IEC 61511 y los requerimientos para evitar las fallas de una
SIF debido a causas humanas requieren de un considerable esfuerzo de organización y la asignación de
numerosos recursos humanos y tiempo. El usuario final del sistema debe implementar y tener vigente los
procedimientos del Planeamiento de Seguridad. Este debería ser el principal objetivo de las empresas que
deseen ajustarse al Stsndard, en lugar de comenzar por asignar SIL a las funciones de seguridad sin tomar
después las medidas necesarias para asegurar el cumplimiento del SIL asignado

Referencias
1) IEC 61511International Standard. Functional Safety – Safety Instrumented Systems for the
process industry sector – 2nd edition 2016- Part 1 to 3
2) IEC 61508 International Standard-Functional Safety of electric, electronic and programmable
electronic safety related systems- 2016- parts 1 to 8

CENTRO PARA LA SEGURIDAD DE LOS PROCESOS QUÍMICOS

Un Compromiso Institucional de AAIQ