Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tabla 1
PFD SIL
(Probabilidad de Falla en Demanda)
10-5 a 10-4 4
10-4 a 10-3 3
10-3 a 10-2 2
10-2 a 10-1
Así por ejemplo una SIF SIL 1 es una Función de Seguridad de la que se espera que al ser demandada
su probabilidad de falla esté entre 0,1 y 0,01 (o sea entre 10% y 1%)
Entonces surgen dos preguntas
1) ¿Cómo asignamos a cada SIF un nivel SIL de acuerdo a la magnitud del riesgo que protegen?
2) ¿Qué debemos hacer para que esa SIF logre el nivel SIL que pretendemos?
La primera de estas preguntas se resuelve fácilmente. Existen técnicas para asignar el SIL requerido a
una Función de Seguridad basadas en una evaluación cualitativa o semi-cualitativa de las consecuencias
de un escenario de riesgo y la probabilidad de demanda de la función. Esto se realiza con ayuda de tablas
y matrices en un ejercicio parecido al Hazop. Algunas de estas técnicas son los Gráficos de Riesgo y el
LOPA (Layers of Protection Analysis). Muchas empresas realizan este ejercicio en forma rutinaria luego
de un Hazop y conocen la mecánica.
Sin embargo, parece sorprendente que luego de haber contestado la primera pregunta son muy pocas
las personas que tienen claro que se debe hacer para satisfacer el SIL asignado. En muchos casos. el
tratamiento del tema termina allí, como si lo que sigue a continuación siempre fuera responsabilidad de
alguien más.
La realidad es que el logro y mantenimiento de los niveles SIL es una tarea que demanda un esfuerzo
importante en recursos humanos y un compromiso de toda la estructura del usuario final en una filosofía
de trabajo que priorice la seguridad de procesos durante toda la vida de la instalación.
de los límites que definen el rango del SIL asignado a la SIF. De lo contrario debe modificarse el intervalo
de test o agregar redundancia en los componentes.
En algunos de los proyectos que realizamos, como parte de la tarea de ingeniería se solicita la
realización de estos cálculos. Pero parecería que muchas personas tienen el equivocado concepto que una
vez efectuados puede darse por supuesto que los testeos periódicos serán realizados con la frecuencia que
haya sido definida y esto garantiza que la probabilidad de falla de la SIF se encontrará dentro del intervalo
correspondiente al SIL requerido sin tener en cuenta la mayor fuente de error que constituyen las fallas
humanas.
una recomendación de Hazop era difícil de implementar, se re abrió el estudio con la participación de otras
personas para cambiar la recomendación.
Este es otro tema a considerar ¿Quién selecciona a los participantes de un Hazop? Muchas veces el
equipo de trabajo se constituye con las personas que tenían disponibilidad de tiempo en las fechas de
reunión. ¿Pero estas personas tienen la autoridad suficiente como para decidir cuándo un riesgo es
tolerable? Los procedimientos deben definir quién es el responsable de armar el equipo.
Estas etapas deben ejecutarse en el orden establecido de modo que el producto de cada etapa sirva de
input para la siguiente y deben existir procedimientos escritos para realizar cada una de ellas.
Además, se establece que cada una de estas etapas debe ser verificada. Esto significa que debe revisarse
lo actuado para detectar si se han cometido errores. Por ejemplo, luego de realizado el Hazop debería
someterse el estudio a un revisor independiente, y del mismo modo en cada una de las etapas.
Además, deben realizarse evaluaciones (assessments) en etapas específicas del ciclo para comprobar
que los procedimientos se encuentran en vigencia y que no se han degradado a través del uso.
-El tiempo en el que la función de seguridad debe llevar el proceso a este estado seguro
-La frecuencia de demanda
-La frecuencia tolerada de fallas espurias
-El nivel SIL que debe tener la función
-La posibilidad de by passear la función por razones de operación o de mantenimiento y la política para
implementarlos (autorización, validez, señalización) y las medidas compensatorias que se deben adoptar
para permitir la operación en esos casos.
-Requerimiento de confirmación de actuación (por ejemplo, a través de fines de carrera de válvulas) y
procedimiento a seguir en caso de falla
-Los tiempos requeridos para reparación o reposición en caso de fallas de hardware
-El procedimiento para resetear una vez actuada.
-las necesidades de dispositivos auxiliares (por ejemplo, botones de disparo manual, señalización
auxiliar, modos de comunicación con el DCS.
Se trata del documento más importante durante la Ingeniería del Sistema de Seguridad y contra este
documento debe validarse el diseño del SIS. Sin embargo, hemos visto casos en los que este documento ni
siquiera figura entre los elaborados de un proyecto. Los procedimientos deben definir como participarán
los sectores interesados (por ejemplo operaciones) en su elaboración y verificación.
Capacidad Sistemática
Este tema ya fue mencionado al comienzo. Se refiere a los certificados emitidos por las empresas
certificadoras. Cuando no se disponga de dichos certificados se permite la inclusión de un determinado
elemento de hardware en una SIF si existen suficientes antecedentes de su performance basados en su uso
previo (prior use).
Pero para que se pueda alegar la experiencia en prior use la IEC 61511 exige una serie de requisitos
que dependen del nivel SIL en que se lo desee utilizar
-Extensa experiencia de operación documentada (aunque no necesariamente en aplicaciones de
seguridad) (IEC 61511-1 11.5.3.2)
-Considerar la calidad del fabricante sus sistemas de aseguramiento de calidad
-Adecuada identificación y especificación de todos sus componentes
-Demostrar la performance del subsistema en similares ambientes físicos
Para ello, el usuario debe llevar una lista con los elementos aprobados para su uso en la que se registren
todas sus fallas y se eliminen aquellos elementos cuya aptitud no haya sido satisfactoria
Todos estos parámetros deben corresponder a la operación de la planta. La norma IEC 61511 (5.2.5.3)
indica que deben existir en la empresa procedimientos para analizar si los parámetros de confiabilidad
usados en el diseño están de acuerdo con los observados durante la operación y estos procedimientos deben
definir las acciones correctivas en caso contrario.
Un parámetro particularmente importante es la tasa de falla propia de cada componente. La IEC 61511
en su clausula 11.9.3 dice que los datos de confiabilidad que se usan para calcular las tasas de falla deben
ser creíbles, traceables, documentados, justificados y estar basados en feedback de campo de equipos
similares usados en similares ambientes operativos.
Las fuentes de información a las que se recurre para obtener los datos de tasa de falla son
-datos recogidos por usuarios
-datos de fabricantes
-bases de datos de confiabilidad públicos o semipúblicos
-cálculos teóricos con técnicas como FMEDA (usualmente incluidos en los certificados de capacidad
sistemática)
Pero sólo la primera de estas fuentes permite garantizar el cumplimiento del requisito de similar
ambiente operativo. Estos datos no pueden ser suministrados por el integrador del sistema o el contratista
de ingeniería porque carece de la información necesaria. Por eso nuevamente se recalca la necesidad de
que cada usuario disponga de sus propias tasas de falla.
Con todos los datos incluidos más arriba se puede calcular la PFD de cada función de seguridad
recurriendo a diversas técnicas matemáticas incluyendo
-diagramas de confiabilidad
-árboles de falla
-ecuaciones simplificadas
-modelos de Markov
Los procedimientos del Planeamiento de Seguridad deben asegurar que los cálculos puedan ser
verificados, por lo tanto, deben especificar las técnicas y los softwares que se usarán y la forma de
documentar estos cálculos.
Seguridad debe indicar quien es la persona que llevará a cabo la verificación y que métodos se emplearán
para garantizar que el programa cumple los objetivos de la SRS y que todas las partes del programa hayan
sido verificadas, como también debe verificarse el timing y la secuencia de ejecución. El Planeamiento de
Seguridad debe especificar como deben documentarse los resultados de la verificación y las acciones a
seguir en caso de no conformidad.
Los procedimientos deben indicar cómo seleccionar al Contratista que instalará el SIS. La IEC 61511
establece que cualquier proveedor que suministre equipos o servicios a una organización responsable de
una o más fases del Ciclo de Vida del SIS debe tener un Sistema de Calidad y deben existir procedimientos
para demostrar que dicho sistema es adecuado.
En cuanto al comisionado, esta tarea se realiza en la obra y por lo general está incluida dentro de los
procedimientos generales del comisionado. Durante el comisionado del sistema se controlará la puesta a
tierra, la confiabilidad del suministro eléctrico, la calibración y configuración de los elementos de campo,
las interfaces y los sistemas de comunicación, la no existencia de daños físicos, etc.
Como ya se indicó podría considerarse el FAT como parte de esta tarea. El SAT es la comprobación
final previa a la puesta en marcha de que el sistema se encuentra listo y sin fallas. La planificación del SAT
debe realizarse cuidadosamente previendo todos los elementos que serán necesarios. Por ejemplo,
instrumentos calibrados patrones para comprobar la exactitud de los instrumentos instalados, necesidad de
elementos de detección de fugas para chequear estanqueidad de válvulas, necesidad de software de
simulación etc.
Se debe cuidar que sean validados todos los modos de operación: arranque, paro normal, emergencia,
operación en modo manual, operación en by pass, en falla, reset, comunicación con el sistema de control
de la planta o BPCS (Basic Process Control System).
Deben estar claramente establecidos los criterios de tolerabilidad (pasa-no pasa).
El Planeamiento de Seguridad debe indicar muy cuidadosamente qué documentos se elaborarán para
la aceptación final del sistema y para referencias futuras.
Debe preverse en el Planeamiento cuáles serán las acciones a seguir en caso de discrepancia entre los
resultados obtenidos y los esperados. Esto debe incluir la toma de decisiones acerca de si continuar la
validación o emitir una solicitud de cambio y retornar a una etapa anterior del ciclo de vida.
Es importante recalcar que siendo una etapa del Ciclo de Vida, la validación debe ser revisada y debe
existir un procedimiento para hacerlo-
El objetivo de esta etapa es que el nivel de integridad de las funciones de seguridad no se degrade con
el tiempo durante la operación de la planta.
Se suele decir que la duración de las etapas del Ciclo de Vida de un Sistema de Seguridad cumple la
regla de las tres 20. Esto es que las etapas de diseño llevan 20 semanas, las etapas de instalación y puesta
en marcha 20 meses y la etapa de operación 20 años.
Por lo tanto, el 90% del tiempo del Ciclo de Vida corresponde a la fase operativa y debemos ser muy
cuidadosos en hacer las cosas bien en esta etapa. De lo contrario muy fácilmente se puede echar a perder
un muy buen trabajo realizado en las etapas anteriores.
Habíamos dicho que el parámetro más importante en el cálculo de la PFD de una función de seguridad
es el intervalo de test.
Los gráficos de la Figura 2 indican cómo va creciendo en el tiempo la probabilidad de falla de una
función de seguridad. A medida que el tiempo transcurre, crece la probabilidad que alguno de los
componentes del sistema haya experimentado una falla no detectada y por lo tanto en el momento que
necesitemos que la SIF actúe no lo hará.
Pero admitimos que cada tanto tiempo (un período TI = test interval) se realizará una verificación
completa de la SIF y se revelarán todas sus fallas y se procederá a reemplazar o reparar los elementos
dañados dejando a la función en un estado de “tan bueno como nuevo”.
El gráfico de la Figura 2a muestra la evolución de la Probabilidad de falla PF(t)de una función en la
que se realiza ese testeo cada 4 años y se resetea a cero luego de cada test. En la Figura 2b se indica el
efecto de realizar el test cada año. La PFD es la probabilidad que la función se encuentre en falla en el
momento de producirse la demanda. Como no sabemos en qué momento ésta se producirá se debe tomar
el promedio a lo largo del tiempo El SIL de una función de seguridad está en relación inversa con la
probabilidad de falla, por lo tanto, vemos que cuanto mayor tiempo pase sin realizar ese testeo el SIL de
la función disminuye.
Es decir que si no se realiza el testeo periódico con la frecuencia que se asumió al realizar la ingeniería
de la función nos encontraremos con que el SIL de nuestra función será menor que el que debería.
Este es un concepto que debe ser entendido claramente. El SIL de una Función de Seguridad no es algo
que se logra con una buena ingeniería y una vez instalada la Función lo va a mantener durante toda la vida,
como podría ser por ejemplo la presión de diseño de un recipiente. Se puede realizar la mejor ingeniería e
instalar los mejores equipos del mercado, pero si no se cumplen las prescripciones de la norma en la fase
de operación el SIL se degradará rápidamente.
Para cada SIF debe existir un procedimiento escrito indicando como se realizará el test periódico. Este
procedimiento debe definir qué y cómo se debe probar.
No basta comprobar que la válvula cierra ante una demanda. En muchos casos es importante la
velocidad de cierre, la cual debe monitorearse. En otros casos es importante chequear también la
estanqueidad al cierre, por lo que deben instalarse elementos para medirla.
Si en el cálculo de la PFD se tomó crédito de la capacidad de autodiagnóstico de los instrumentos, el
chequeo debe incluir también el correcto funcionamiento de las rutinas de autodiagnóstico.
Estos test deben formar parte de los planes de mantenimiento y los procedimientos para ejecutarlos
deben estar implementados y haberse ensayado antes de poner en marcha la planta. De ese modo nos
aseguraremos que el personal de mantenimiento se siente cómodo con ellos y los puede realizar en un
tiempo razonable. Además, podría ser una forma de detectar eventuales fallas peligrosas ocultas antes de
comenzar la operación.
El procedimiento de test debe indicar claramente cuáles son los criterios de aceptación y, sobre todo,
que se debe hacer en caso que el test no sea satisfactorio. ¿Se puede continuar con la operación de la planta
o es necesario parar hasta resolver el problema? ¿Puede seguir operando bypasseando esta SIF? ¿Quién
está autorizado para tomar la decisión?
En las SRS debe estar definido en qué condiciones una SIF puede sacarse de servicio y si deben
adoptarse medidas compensatorias mientras la Función está fuera de servicio
La política de by pass de funciones de seguridad debe haberse discutido y definido durante la
confección de las SRS. Es imprescindible que esta política sea respetada rigurosamente durante la
operación. Deben existir procedimientos escritos para ser aplicados durante la operación en by pass
indicando como se lo controla administrativamente y como se deshabilita. Estos procedimientos deben ser
comprendidos y aplicados por todo el personal de operaciones.
Uno de los parámetros que se tienen en cuenta para calcular la PFD, y por lo tanto el SIL, de una
función de seguridad es el tiempo de restauración de cada componente de la función cada vez que se debe
sacar de servicio por una falla. Los planes de mantenimiento deben permitir cumplir con estos tiempos
porque de lo contrario aumentará la probabilidad de falla en demanda. Este tiempo incluye no sólo el
trabajo de recambio sino también la gestión de los elementos a reemplazar. Por ejemplo, suele adoptarse
que el tiempo de restauración de un transmisor es 24 horas, pero si la falla ocurre un viernes a la noche ¿se
podrá cumplir con este tiempo? ¿Qué se debe hacer si no podemos cumplir?
El Planeamiento de Seguridad debe incluir procedimientos para la reparación, validación luego de cada
reparación y reporte de fallas.
Un aspecto importante que debe considerar el Planeamiento de Seguridad son los planes de
capacitación del personal de Operación y Mantenimiento. Se debe asegurar que todo el personal entienda
como funciona el SIS, que riesgos está protegiendo, como operan los by passes y cuando se aplican, que
se debe hacer ante una alarma de diagnóstico etc.
Deben realizarse cursos de capacitación con evaluación de resultados, en especial cuando se instalan
equipos nuevos
Hemos dicho antes, que deben existir procedimientos de recolección de datos de falla del sistema. Estos
procedimientos deben incluir registros de fallas peligrosas y espurias, registros de intervenciones y
mantenimiento, resultados de test periódicos, alarmas reales y falsas alarmas, demandas de actuación. Los
procedimientos deben garantizar que el personal de Operación y Mantenimiento sepa cómo registrar estos
eventos y sea diligente en esta tarea.
3.2.8 Decomisionado
El decomisionado del SIS también debe estar cubierto por un procedimiento y debe haberse realizado
un estudio del trabajo a realizar, de sus riesgos, del impacto posible sobre otras unidades y de la seguridad
durante la realización de los trabajos
4 Verificaciones
La norma IEC 61511 establece que cada una de las etapas del Ciclo de Vida debe ser verificada. Esto
significa, examinar en detalle el trabajo realizado y verificar que el resultado cumple con los objetivos.
Obviamente estas verificaciones deben estar previstas en el Planeamiento de Seguridad para cada una de
las etapas y el Standard pone especial énfasis en el desarrollo del programa de aplicación.
En caso de ser necesario realizar testeos, el planeamiento debe incluir una descripción completa
indicando sus criterios de aceptación.
Además de las verificaciones que se realizan luego de cada etapa, la norme prevé la realización de
Evaluaciones en determinados momentos del Ciclo de Vida con el objeto de confirmar que se están
cumpliendo los procedimientos del Planeamiento de Seguridad. Es como una auditoría de calidad, pero
el standard reserva el término auditoría para aquellas que se realizan en la fase de Operación.
El Standard IEC 61511 recomienda realizar estas evaluaciones en las siguientes etapas
-Como se designará el equipo que realizará estas evaluaciones. Los integrantes deben tener la experiencia
técnica y operativa necesaria y debe incluir al menos una persona de nivel senior no involucrada en el
equipo de diseño o en la operación y mantenimiento del SIS
El equipo de FSA revisará todo el trabajo llevado a cabo en todas las fases de Ciclo de Vida anteriores al
momento de realizarse el estudio y que no hayan sido cubiertos por otras FSAs previas.
El Planeamiento permitirá asegurar que el equipo de trabajo obtenga toda la información que requiera de
los distintos niveles de la organización y de todas las personas u organizaciones que hayan participado de
las etapas previas.
6 Conclusión
Como vemos, el cumplimiento del Standard IEC 61511 y los requerimientos para evitar las fallas de una
SIF debido a causas humanas requieren de un considerable esfuerzo de organización y la asignación de
numerosos recursos humanos y tiempo. El usuario final del sistema debe implementar y tener vigente los
procedimientos del Planeamiento de Seguridad. Este debería ser el principal objetivo de las empresas que
deseen ajustarse al Stsndard, en lugar de comenzar por asignar SIL a las funciones de seguridad sin tomar
después las medidas necesarias para asegurar el cumplimiento del SIL asignado
Referencias
1) IEC 61511International Standard. Functional Safety – Safety Instrumented Systems for the
process industry sector – 2nd edition 2016- Part 1 to 3
2) IEC 61508 International Standard-Functional Safety of electric, electronic and programmable
electronic safety related systems- 2016- parts 1 to 8