2 - Que Es SIL (Revisado)

6/10/2020
¿Qué es SIL?
Marzo 2020
Unrestricted Explicación de la IEC 61511; 2016
Instructor
o Luis M. F. García G.
o CFSE Certificado No 080415 004
o TÜV/SÜD Certificado No TP 10010106
o BE Metallurgy & Material Science – Liverpool University, UK - 1981
o Ing. Mecánico – Rosario – Argentina - 1972
o Safety System Senior Consultant para Siemens Industry Inc.
o Safety Instrumented Systems Specialist con 21 años de experiencia
o ISA Miembro e Instructor No 31999499
o Instructor de Seguridad Funcional de procesos
o Varios artículos ensayos y trabajos sobre seguridad Funcional de
procesos, publicados en América , Europa y Oceanía
o Chartered Engineer
o Miembro del CFSE Advisory Board
o Miembro del comité 84 (Votante), WG 84.00.05 y WG 84.91.03
o Chair (Director) del grupo de “Tank Farm” en ISA Safety and Security
Division
Unrestricted © Siemens AG 2020

Page 2 March 2020 Luis M F Garcia G.| PD PA S AE SD
1
6/10/2020
Sistemas Instrumentados de Seguridad
1. Funciones Instrumentadas de Seguridad

2. Modos de Falla
3. Concepto de “Nivel Integral de Seguridad
Funcional” - SIL
4. Bases Matemáticas

¿Qué es una Función Instrumentada de Seguridad (SIF)?
“La” Capa Independientes de Protección” con Lógica Instrumentada
El rendimiento de la SIF o FIS, es su capacidad

REAL de reducir Riesgo en Ordenes de Magnitud.
(Su Integridad Funcional)
Safety Integrity Level

(SIL)
SIL 1 à Reducirá el riesgo entre 1 y 2 ordenes de magnitud à 10 Veces como mínimo
SIL 2 à Reducirá el riesgo entre 2 y 3 ordenes de magnitud à 100 Veces como mínimo
SIL 3 à Reducirá el riesgo entre 3 y 4 ordenes de magnitud à 1.000 Veces como mínimo
SIL 4 à Reducirá el riesgo entre 4 y 5 ordenes de magnitud à 10.000 Veces como mínimo
La certificación SIL de los componentes de una FIS, siguen el standard IEC 61508 o …
… existe evidencia de “Uso Previo” según la IEC 61511 (limitado - ejemplo: PES SIL2 solo – ver mas adelante)
2
6/10/2020
“La” Capa Independientes de Protección” con Lógica Instrumentada
Sistema Durmiente à Concepto SIL

Nivel de Integridad en Seguridad Funcional (Safety Integrity Level)
¿Cómo se mide Rendimiento en un

sistema que aparentemente no está
Haciendo NADA?
Solo debe activarse en caso de un

accidente. No debe dispararse en Falso
(En forma espuria)
Certificación SIL siguiendo la IEC 61508 à Discutiremos en otra entrega

Concepto SIL – (Safety Integrity Level)
¿Cómo Medimos Rendimiento de un Sistema Durmiente?

q Disponibilidad: Probabilidad de que un sistema esté saludable y pueda realizar su
función*
q PFD: Probabilidad de “Falla en Demanda” (Falla peligrosa)
q Previene que la Función actúe
q PFS: Probabilidad de Falla Segura (Espuria)
q Disparo en Falso (no siempre a condición segura)
PFS
Probabilidad de falla Sin
PFD
PFN
Efecto (ver luego)
No utilizada para el cálculo
* ISO/IEC 3282 parte 14
Disponibilidad: La habilidad funcional
de una unidad para estar en condiciones
de realizar su función, bajo ciertas
condiciones en un momento dado o en
Disponibilidad un intervalo de tiempo específico,
asumiendo que las condiciones
externas requeridas están dadas
PFD + PFS + PFN + Disponibilidad = 1

3
6/10/2020
¿Cómo Medimos Rendimiento de un Sistema Durmiente?

Todos estos parámetros cambian con el tiempo
No es un problema con fallas evidentes (Espurias)
P(t) Disponibilidad
PFS
PFD
Problema con Fallas

Ocultas (en Demanda)
Confiabilidad en tiempo “t”
t
Unrestricted © Siemens AG 2020 Tiempo


1. Necesitamos entonces:
1. Detectar las fallas peligrosas con inspecciones (único método posible).
2. También necesitamos:
1. Crear niveles de rendimiento entre los tiempos de inspección, basados en las
características de los sistemas. (Tasas de Falla)
Probabilidad de falla en Demanda Promedio
PFDPRO à Función del tiempo entre Inspecciones
ò
Ti
PFDPRO = 1/T x 0 PFD(t) dt
4
6/10/2020
Promedio à Modos de Operación à Tres Modos
Modos de Operación de una SIF:

Maneras en las cuales una SIF puede funcionar. En Baja Demanda,
en Alta Demanda o en Demanda Continua
a) Baja Demanda (Low Demand Mode): Modo operativo en el cual
la SIF solo actúa para transferir al proceso a un estado especifico y
donde la frecuencia No es mayor a una vez por año.
b) Alta Demanda (High Demand mode): Modo operativo en el cual
la SIF solo actúa para transferir al proceso a un estado especifico y
donde la frecuencia ES mayor a una vez por año.
c) Demanda Continua (Continuous Demand Mode): Modo
operativo donde la SIF mantiene la operación en estado seguro como
parte de la operación normal.


10
5
6/10/2020
Niveles SIL
O
A
D
A
I
I
IEC61508 “Modo Demanda”
f
PFDSIF (Ti)
PFDpro: 0.1 – 0.01 SIL 1
PFDpro: 0.01 – 0.001 SIL 2
PFDpro: 0.001 – 0.0001 SIL 3

SIL – RRF - PFDPRO
PFDpro: 0.0001 – 0.00001 SIL 4
Tiempo
Ti /10
Unrestricted © Siemens AG 2020 Ti
11
Niveles SIL
D
O
A
D
A
I
I
IEC61508 “Modo Demanda”

f
PFDSIF (Ti)
PFDpro: 0.1 – 0.01 SIL 1
PFDpro: 0.01 – 0.001 SIL 2
PFDpro: 0.001 – 0.0001 SIL 3

PFDpro: 0.0001 – 0.00001 SIL 4
Tiempo
Ti /10
Unrestricted © Siemens AG 2020 Ti
12
6
6/10/2020
ò
PFDPRO = 1/T x 0 PFD(t) dt à PFD << 0,1 à e-lt ~ l t
Ti
PFDPRO = 1/T x 0 ( ò l t) dt
Ti
para un l constante
La Curva de la bañera …
20 Años
Tasa de Falla l
l constante
Tiempo

ISO 13849-1 asume el Tiempo-Misión como de 20 Años
13

¿Qué es una Falla Sin Efecto? - Ejemplo de una válvula solenoide de 2 vías
Descripción de la Falla: La generación de calor afecta (ablanda) el recubrimiento de las
espiras causando que por vibración entren en corto circuito, afectando los “Amperios-
Vuelta” y por ende la densidad magnética.
q El solenoide no se dispara por haber “Cero” entre-hierro en el circuito magnético.
q Una vez disparado, el solenoide no puede re-armarse.
1998 2010
Falla Segura No Detectada Falla Sin Efecto
No era Peligrosa (DEPD) No dispara à No es Falla Segura
No hay disparo (Oculta)
Válvula alcanzaba SIL 2 Válvula solo alcanza SIL 1

Tipo A Elemento Final de Control Tipo A Elemento Final de Control
l : 40% l : 40%
}
SU NE
Considere que esta no es una Falla Sistemática.

La válvula está siendo operada dentro de los parámetros indicados por el fabricante
14
7
6/10/2020
Resumen; El criterio de rendimiento en la nueva IEC 61511; 2016
q La Nueva IEC 61511 tomó tres años más en salir que lo planificado originalmente
q Según IEC GUIDE 104 (mas en línea con la IEC 61508; 2010) à Un mejor estándar
Capacidad Sistemática
Re. mínimos HFT
HFT àTabla 6 Calidad del diseño

Tolerancias a PFDPRO
Fallas del Hardware
Seguridad
Cálculos Cibernética
Fallas aleatorias
15
HFT se basa en arquitecturas redundantes, para reducir tasas de falla
Consideremos un contacto lógico en arquitectura simple (1oo1):
l es entonces 1/100 = 0.01 (Tasa de Falla)

l D es 0.2 x 0.01 = 0.002 si se ignora fallas sin efecto (lNE)
A
Si consideramos comportamiento linear para PFD < 0.1,
entonces en un año las PFD estarán dadas por:
PFD (1 Año) = l d x T = 0.002
Ahora bien, l s es 0.01-0.002 = 0.008 à (lNE~ 0)
Procesador
PFS será entonces: Lógico
Datos del Fabricante:
PFS (1 Año) = l s x T = 0.008
MTTF: 100 Años
80% falla abierto - Relevador
La disponibilidad estará dada por:
1 - (0.002) - (0.008) = 0.990

16
8
6/10/2020

Consideremos ahora dos contactos idénticos en arreglo de votación 1oo2
PFD (1 Año) estarán dadas por:

PFD(1oo2) {(ld x T) x (ld x T)}, 0.000004 A B
AND
Si despreciamos los efectos de segundo orden ((ls x T)2)

PFD(A) PFD(B)
y las fallas sin efecto (lNE)
PFS (1 Año) estará dada por:
PFS(1oo2) 2 x (ls x T) , 0.016
OR
El valor de la disponibilidad será:

PFS(A) PFS(B)
1 - (0.016) - (0.000004) ~ 0.983
Nota : El valor de PFD ha mejorado al disminuir.

Sin embargo la disponibilidad ha también. Esto es por el aumento de las PFS.
17
Consideremos ahora estos contactos en arquitectura 2oo2

Otra vez, descartamos efectos de segundo orden y lNE:
PFD(2oo2)
PFD (1 Año) estará dada por:
OR 2 x (ld x T), 0.004
PFD(A) PFD(B) B
PFS (1 Año) estará dada por:
PFS(2oo2) {(ls x T) x (ls x T)}, 0.000064
AND
A
El valor de la disponibilidad será:
PFS(A) PFS(B)
1 - (0.004) - (0.000064) = 0.995
Nota : El valor de las PFD ha incrementado, y también la disponibilidad

gracias a las PFS. Esto se debe al 80% de falla segura (espuria).

18
9
6/10/2020
Consideremos ahora un arreglo triplicado de doble contactos – 2oo3
Ignorando causa común, efectos de segundo orden y lNE A B
una aproximación en un año sería:

B C
PDF (1 Año) ~ 3 (ld x T)2 ~ 0.000012
Similarmente: PFD(2oo3)
PFS
A C
PFS (1 Año) ~ 3 (ls x T)2 ~0.000192 OR
La disponibilidad quedaría:
1 - (0.000012) - (0.000192) = 0.999
AND AND AND
PFD
PFS(A) PFD
PFS(B) PFD
PFS(A) PFD
PFS(C) PFD
PFS(C) PFD
PFS(B)
Nota : El valor de PFD ha empeorado pero la disponibilidad ha

mejorado significativamente.
19
Cada arquitectura (redundante) ofrece ventajas y desventajas en confiabilidad y Seguridad
Arquitectura Disponibilidad PFD PFS 1/PFD
1oo1 0.990% 0.002 % 0.008 % 500
Mas Seguro à 1oo2 0. 983% 0.000004 % 0.016 % 250,000
Mas Confiable à 2oo2 0.995 % 0.004 % 0.000064 % 250

X3
X3
Mas Disponible à 2oo3 0.999 % 0.000012 % 0.000192 % 83,333

20
10
6/10/2020

Architecture HFT Value
q “Tolerancia a Fallas del hardware” 1oo1 0
(Hardware Fault tolerance – HFT) es la
propiedad que permite que un sistema 1oo2 1
continúe operando CORRECTAMENT en el
evento de la falla de uno de sus 2002 0
componentes.
q Si su calidad operativa es disminuida 1oo3 2
(degradada) esta disminución debe de ser
proporcional a la severidad de la falla. 2003 1
q La habilidad en un sistema para mantener 3003 0
completa funcionabilidad al degradar se la
llama “Degradación Inconsecuente” 1oo4 3
(Graceful Degradation).
2oo4 2
XooN N-X
21
q Por tanto, según esta tabla,

Aun si un componente o sistema tiene PFDPRO menores a 0.001, NO puede reclamar créditos SIL 3 a
menos que:
A. Este en arquitectura 1oo2, 2oo3, 3oo4 etc. Con un HFT > 1
B. Haya sido certificado según el estándar Madre IEC 61508 (Ver mas adelante)

22
11
6/10/2020
Re. mínimos HFT

Tolerancias a PFDPRO
Fallas del Hardware
Seguridad
Fallas aleatorias
23
Capacidades Sistemáticas – Calidad del Diseño

¿Que son Capacidades Sistemáticas? à IEC 61511-1; 2016 à 3.2.80
Expresadas como niveles SC1 a SC 4 es una expresión de confianza de que se alcanza

el nivel Integral de Seguridad Funcional SIL en una FIS cuando el equipo es
implementado en la forma en que especifica el fabricante en el manual de seguridad
Notas:
1. Determinadas en Referencia al control de Fallas

Sistemáticas (IEC 61508-2:2010 e IEC 61508-3:2010.
2. Dependen de las características del Instrumento – Si es
solo Hardware, solo mecanismos de hardware son
considerados – Si es software interactuando con el
Hardware, se consideran las fallas de Software también.
3. Una SC N significa que la integridad Sistemática N ha sido
alcanzada de acuerdo al manual de seguridad del equipo

24
12
6/10/2020
Capacidades Sistemáticas – Calidad del Diseño

¿Que son Fallas Sistemáticas? à IEC 61511-1; 2016 à 3.2.81
Fallas relacionadas a una condición pre-existente y que ocurre consistentemente bajo
condiciones particulares, y que solo pueden ser eliminadas con la modificación del
diseño, proceso de manufactura, procedimientos de operación, documentación u otros
factores relevantes
Notas:
1. En software las fallas sistemáticas se las conoce como “Bugs”.

2. Mantenimiento correctivo generalmente no puede eliminarlas
3. Pueden ser simuladas (reproducidas).
1. Ejemplos de SF son:
2. Fallas humanas en los SRS
3. Diseño, manufactura, Instalación, operación y/o
mantenimiento del Hardware
4. Diseño e implementación del Software (Programa de
Aplicación)
4. Equipos similares en condiciones similares, deben contener las
mismas fallas y derrotan redundancia

25
Re. mínimos HFT

PFDPRO
Tolerancias a
Fallas del Hardware
Seguridad
Fallas aleatorias
26
13
6/10/2020
Seguridad Cibernética
Una Evaluación sobre las vulnerabilidades que

puedan afectar la Funcionabilidad de las SIFs
deben hacerse con miras a “fortalecer” cada
SIF.
q Concepto de Ciclo de Vida (ver mas adelante)

q Reconocimiento en Seguridad de Acceso
q Reconocimiento del “Internet de las cosas”
q Reconocimiento de “Industria 4.0”

27
Resumen
1. Una Función Instrumentada de Seguridad (SIF) esta formada por instrumentos que
llevan o mantienen la planta en un estado Funcionalmente Seguro ante la presencia
de desviacionesnes en el proceso.
2. Los Instrumentos en la FIS pueden ocasionar que la misma falle en forma Peligrosa
o en forma espuria (en falso).
3. Los instrumentos pueden fallar en forma de que no afecten el funcionamiento de la
SIF.
4. El rendimiento de una SIF es medido (comparado) en niveles SIL.
5. El SIL es el promedio probabilidades de ocurrencia de fallas peligrosas en la SIF.
6. Analizamos que otras consideraciones son necesarias para evaluar el Rendimiento
o Integridad Funcional de una FIS; como son:
a) Efecto de la redundancia en las PFDPRO
b) Tolerancias a Fallas del Hardware en Arquitecturas Redundantes
c) Integridad Sistemática
d) Fortaleza en Seguridad de Acceso y Cibernética
¿Alguna
pregunta?
28
14

2 - Que Es SIL (Revisado)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2 - Que Es SIL (Revisado)

Cargado por

Copyright:

Formatos disponibles

6/10/2020

Unrestricted Explicación de la IEC 61511; 2016

Unrestricted © Siemens AG 2020

Sistemas Instrumentados de Seguridad

1. Funciones Instrumentadas de Seguridad

Unrestricted © Siemens AG 2020

¿Qué es una Función Instrumentada de Seguridad (SIF)?

“La” Capa Independientes de Protección” con Lógica Instrumentada

El rendimiento de la SIF o FIS, es su capacidad

Safety Integrity Level

“La” Capa Independientes de Protección” con Lógica Instrumentada

Sistema Durmiente à Concepto SIL

¿Cómo se mide Rendimiento en un

Solo debe activarse en caso de un

Certificación SIL siguiendo la IEC 61508 à Discutiremos en otra entrega

Unrestricted © Siemens AG 2020

Concepto SIL – (Safety Integrity Level)

¿Cómo Medimos Rendimiento de un Sistema Durmiente?

PFD + PFS + PFN + Disponibilidad = 1

Concepto SIL – (Safety Integrity Level)

¿Cómo Medimos Rendimiento de un Sistema Durmiente?

Problema con Fallas

Unrestricted © Siemens AG 2020 Tiempo

Concepto SIL – (Safety Integrity Level)

Probabilidad de falla en Demanda Promedio

PFDPRO à Función del tiempo entre Inspecciones

Concepto SIL – (Safety Integrity Level)

Promedio à Modos de Operación à Tres Modos

Modos de Operación de una SIF:

Unrestricted © Siemens AG 2020

Concepto SIL – (Safety Integrity Level)

Unrestricted © Siemens AG 2020

Concepto SIL – (Safety Integrity Level)

PFDpro: 0.1 – 0.01 SIL 1

PFDpro: 0.01 – 0.001 SIL 2

PFDpro: 0.001 – 0.0001 SIL 3

PFDpro: 0.0001 – 0.00001 SIL 4

SIL – RRF - PFDPRO

Concepto SIL – (Safety Integrity Level)

IEC61508 “Modo Demanda”

PFDpro: 0.1 – 0.01 SIL 1

PFDpro: 0.01 – 0.001 SIL 2

PFDpro: 0.001 – 0.0001 SIL 3

PFDpro: 0.0001 – 0.00001 SIL 4

SIL – RRF - PFDPRO

Concepto SIL – (Safety Integrity Level)

Unrestricted © Siemens AG 2020

Concepto SIL – (Safety Integrity Level)

Válvula alcanzaba SIL 2 Válvula solo alcanza SIL 1

Considere que esta no es una Falla Sistemática.

Resumen; El criterio de rendimiento en la nueva IEC 61511; 2016

HFT àTabla 6 Calidad del diseño

HFT se basa en arquitecturas redundantes, para reducir tasas de falla

Consideremos un contacto lógico en arquitectura simple (1oo1):

l es entonces 1/100 = 0.01 (Tasa de Falla)

Unrestricted © Siemens AG 2020

HFT se basa en arquitecturas redundantes, para reducir tasas de falla

PFD (1 Año) estarán dadas por:

Si despreciamos los efectos de segundo orden ((ls x T)2)

El valor de la disponibilidad será:

Nota : El valor de PFD ha mejorado al disminuir.

HFT se basa en arquitecturas redundantes, para reducir tasas de falla

Consideremos ahora estos contactos en arquitectura 2oo2