Cómo cumplir la IEC 61511?

¿Qué tenemos que hacer para cumplir la IEC 61511? Esta Norma introduce el
concepto de Ciclo de Vida de Seguridad y, por lo tanto, la respuesta está
asociada al cumplimiento de cada una de las fases de este ciclo. Nuestra intención
es explicarlo, de una manera sencilla, para los no tan expertos.

En la imagen hemos intentado dividir el ciclo de vida del SIS en 8 partes

principales, el azul para la Fase 1 de Análisis, el rojo para la Fase 2 de Diseño &
Implementación, y el verde para la Fase 3 de Operación & Mantenimiento.

Cada una de estas piezas es necesaria para el cumplimiento riguroso de la IEC

61511. La adopción de todas estas buenas prácticas de seguridad en la
industria de proceso varía mucho según los sectores. Los más avanzados son
las industrias de Oil&Gas, Química y Generación de Energía, otros son
emergentes, como las industrias Farmacéutica, Papel y de Aguas, y no tanto el
sector de Alimentación & Bebidas.

Veamos brevemente lo que consideramos más importante en cada una de las

tres fases. Hay que recordar que, en la práctica, no todo se reduce a cumplir la
Norma, sino que es muy importante crear una buena cultura de seguridad en la
planta, empezando especialmente por la Dirección de la empresa.

Fase de Análisis
 Análisis de Riesgos del Proceso: Lo primero que hay que hacer es este
análisis, con el equipo de personas adecuado y sin restricciones de tiempo.
Es una evaluación rigurosa y sistemática para identificar los riesgos del
proceso, sus causas, sus consecuencias, la frecuencia de que ocurran, y
 las medidas de seguridad o salvaguardas que tomaremos para minimizar o
reducir el riesgo.
 Determinación del SIL: En muchos casos, la forma de reducir el riesgo de
un escenario peligroso es introducir una capa de protección SIS, es decir,
una Función Instrumentada de Seguridad (SIF) del SIS (Safety
Instrumented System). A esta capa de protección habrá que asignarle un
Factor de Reducción del Riesgo (RRF) y, por tanto, un nivel SIL concreto
(1, 2, 3, o excepcionalmente 4).
 Especificación de Requerimientos de Seguridad (SRS): Es el
documento final de esta primera fase donde debemos definir y describir en
detalle cada SIF, así como los parámetros iniciales que necesitaremos para
realizar la verificación del SIL (LT, TI, PTC, Beta, MTTR, Start-up time, etc.).
Los parámetros principales que se definen para cada SIF son el SIL
requerido, el RRF y el MTTFS.
 Evaluación de la Seguridad Funcional: En inglés se llama “Functional
Safety Assessment (FSA)”, y consiste en que un tercero evalúe que el
trabajo realizado en esta primera fase ha sido correcto.

Fase de Diseño & Implementación

 Selección de los productos: Debemos seleccionar las tecnologías y los
fabricantes de cada una de las SIFs (tipo de sensor para medir presión,
temperatura, caudal, etc., tipo de válvula y actuador, modelo de PLC de
seguridad, Logic Solver como PLC o Relés, etc.) Los dispositivos
seleccionados deberán estar certificados para el SIL requerido, o justificar
el llamado “proven in use” o “prior use”.
 Diseño: Hay que realizar el diseño de detalle definiendo bien todos los
componentes de cada Función de Seguridad. Necesitaremos el apoyo de
los fabricantes, y la información de los “Safety Manuals” para obtener los
parámetros finales, en especial el parámetro PTC (“Proof Test Coverage”, o
Cpt) que cuantifica la efectividad que tendremos en las pruebas funcionales
de mantenimiento para detectar los potenciales fallos peligrosos.
 Verificación del SIL: Mediante algún software de cálculo
(exSILentia, Safeguard Profiler, SILcet, etc.) verificamos que el diseño de
cada SIF cumple con lo especificado en el documento SRS (SIL, RRF,
MTTFS). Este proceso de verificación hay que repetirlo cada vez que
modificamos el diseño (por cambio de fabricante, de arquitecturas, de algún
parámetro de cálculo, del SIL requerido, etc.)
 Pruebas del SIS: Hay varios tipos de pruebas según el grado de avance
del proyecto. Las “Factory Acceptance Tests” (FAT) se realizan en fábrica, y
las “Site Acceptance Tests” (SAT) en la planta. Estas dos pruebas,
dependiendo de cómo se hayan realizado, pueden considerarse como parte
de la Validación final del SIS.
 Validación del SIS: Es un hito muy importante que consiste en validar, con
inspecciones y pruebas, el SIS y sus SIF asociadas tal y como se ha
instalado y puesto en servicio, y en base a la especificación SRS (cláusula
 15 de la IEC 61511). Lo normal es que esta validación se realice mediante
las pruebas SAT.
 Evaluación de la Seguridad Funcional (FSA): Consiste en que un tercero
evalúe el diseño y la instalación del SIS y sus SIFs asociadas. En el equipo
evaluador debe haber al menos un experto que no haya estado involucrado
en el diseño.

Fase de Operación & Mantenimiento

 Plan de Mantenimiento del SIS: Esta fase del ciclo de vida es la más
larga, en la que debemos asegurarnos de que se mantiene la integridad de
todas las Funciones de Seguridad (SIF). Debe haber un Plan de
Mantenimiento específico del SIS que defina las actividades, los
procedimientos, las personas responsables, etc. Los cambios principales de
la edición 2 de la IEC 61511, publicada en el 2016, afectan a esta tercera
fase.
 Efectividad del Mantenimiento: Es importante asegurarnos que
cumplimos los parámetros definidos en la SRS, en especial la frecuencia de
las pruebas funcionales (“proof tests”), su efectividad cuantificada con el
parámetro PTC (o Cpt), y los supuestos realizados al calcular el factor beta
(fallos de causa común). Es importante registrar y documentar los fallos del
SIS.
 Monitorización del SIS: Debe vigilarse el comportamiento del SIS de forma
que se mantenga su integridad, en concreto si hay modificaciones en la
frecuencia de demanda de alguna SIF, si cambia algún parámetro utilizado
en el cálculo de la Probabilidad de Fallo, o si hay discrepancias entre el
comportamiento esperado del SIS y el real.
 Modificación del SIS: A lo largo del tiempo pueden surgir modificaciones
por distintas causas. La cláusula 17 de la IEC 61511 marca las pautas a
seguir. Debemos asegurarnos de que la integridad de la seguridad
requerida por el SIS se mantiene después de las modificaciones realizadas.
 Evaluación de la Seguridad Funcional (FSA): Una de las novedades de
la edición 2 es la realización periódica de una FSA para garantizar que el
mantenimiento y la operación se realizan de acuerdo con las suposiciones
hechas durante el diseño, y que se cumplen los requisitos de la norma IEC
 61511 para la gestión y verificación de la seguridad. En el equipo evaluador
debe haber al menos un experto que no esté involucrado en la O&M.

CONCLUSIONES
Como hemos visto, cumplir el 100% de la norma IEC 61511 no es sencillo y
tiene un coste, o no si lo consideramos una inversión en Seguridad e Imagen de
la Planta que tendrá un retorno enorme cuando hayamos evitado un accidente.

En muchos países el cumplimiento de la IEC 61511 no es obligatorio, pero sí que

es una magnífica guía de recomendaciones muy reconocida en todo el
mundo. Desde aquí os animamos a seguirla y a implementarla poco a poco.
Cumplir esta norma sólo en un 50% ya es un buen paso en la dirección correcta.

Hay también que considerar que el uso de esta Norma, como en muchas
otras, requiere grandes dosis de interpretación por parte del usuario. Hay
pocas respuestas rotundas “correcto/incorrecto” y, por tanto, la experiencia y
buenas prácticas del ingeniero son fundamentales.

Por último hacer hincapié en la enorme importancia de los «fallos sistemáticos»

que están muy relacionados con los errores humanos y que podemos minimizarlos
con una buena Gestión de la Seguridad Funcional de la Planta.

Errores más comunes en el SIS

La pretensión de este artículo es repasar algunos de los errores más comunes
en el SIS (Sistema Instrumentado de Seguridad) que pueda servir de guía y
motivo de reflexión para todos los involucrados en su diseño, implementación y
mantenimiento.

Tanto la IEC 61508 como la IEC 61511 indican la gran importancia del concepto
de “Ciclo de Vida del SIS” que es fundamental para la aplicación de estas
Normas. Las 3 Fases de este ciclo de vida son importantes y marcan el
itinerario a seguir para la ejecución del proyecto.

1-Errores en la Fase de Análisis

-El HAZOP está mal planificado (duración mal estimada, documentación no
disponible o incompleta, etc.) Esto conduce a un mal HAZOP y a mucho tiempo
perdido.

-Durante el análisis HAZOP nos olvidamos alguna causa-

consecuencia relevante. El motivo puede ser la falta de conocimiento del proceso
de los participantes. Por otro lado, el hecho de que nunca se haya producido en la
Planta un escenario determinado no significa que no pueda ocurrir.

-Errores en la asignación de créditos a capas no-SIS. En caso de duda es mejor

ser conservador.

-Se utilizan capas no independientes y/o se consideran salvaguardas

inapropiadas (instrumento local que nadie comprueba, alarma sin tiempo
suficiente de reacción, sistema de alivio de presión sin garantías para el escenario
estudiado, etc.)

-Se asigna un crédito excesivo a la intervención humana. Tener en cuenta la

situación concreta del proyecto estudiado (experiencia del personal, recursos
limitados, etc.)

–Se evalúa mal la frecuencia del suceso iniciador y/o las consecuencias.

-Errores propios del mal uso de la metodología utilizada (HAZOP, Gráfico

Riesgos, LOPA, etc.)

–Poca disciplina en las sesiones de HAZOP (interrupciones por llamadas

telefónicas, correos urgentes no relacionados con el HAZOP, etc.)

-Errores en la Especificación SRS o documento incompleto.

2-Errores en la Fase de Diseño e Implementación

-Mala selección de la tecnología y de las arquitecturas de las SIFs.

-Errores en las Data Sheets de los instrumentos y válvulas.

-Uso de componentes de las SIFs sin Capacidad Sistemática (ej.: productos no

certificados ni “proven in use”). Todavía hay quien cree que para cumplir el
requerimiento SIL de una capa-SIS es suficiente con utilizar productos con
certificación SIL.

-Errores en los P&IDs, matrices C&E, planos de montaje, etc. Con demasiada

frecuencia encontramos discrepancias entre documentos.
-Errores en la fabricación, construcción, software, calibración y/o instalación.

–Pruebas FAT/SAT del SIS poco rigurosas. Este es uno de los errores más
graves. Hay que tener en cuenta que si las pruebas son exhaustivas y completas
muchos de los errores anteriores son detectados y pueden resolverse antes de la
puesta en marcha del proceso. Es especialmente importante probar bien el
software.

-Errores en la Verificación de las SIFs: Tasas de Fallo demasiado

bajas, parámetros PTC no realistas (“Proof Test Coverage”), errores en el uso de
la herramienta de cálculo debido al bajo conocimiento de los conceptos del SIS,
errores al configurar las arquitecturas complejas, parámetro Beta de causa común
muy bajo o nulo, , se usa la Ruta 2H con productos certificados sólo para la Ruta
1H, etc. Es una buena práctica comprobar si la tasa de fallo DU está dentro de los
márgenes indicados por Exida (http://silsafedata.com/ ).

-Crédito excesivo a la prueba de carrera parcial (PVST). Hay muchas formas de

realizar esta prueba y son muy diferentes los beneficios obtenidos según cómo se
haga.

–Márgen de seguridad demasiado bajo en la probabilidad de fallo,

especialmente si los parámetros de cálculo utilizados no son realistas.

3-Errores en la Fase de Operación & Mantenimiento

–Procedimientos del SIS incompletos y/o poco claros.

-Baja formación del personal involucrado en la O&M del SIS.

–No se cumplen los parámetros definidos en las fases anteriores y utilizados en

la verificación del SIL.

-La efectividad del mantenimiento del SIS es baja. No se realizan bien las

pruebas funcionales periódicas.

-No hay un procedimiento claro sobre el uso del bypass.

-No se realizan auditorías y evaluaciones periódicas del SIS.

-Se realizan modificaciones del SIS sin realizar una re-verificación y/o re-

validación.

4-Errores de carácter general

-Poner demasiado el foco en los fallos hardware y no tanto en los Fallos
Sistemáticos que son la causa de la mayoría de los accidentes.

-Utilizar una “super herramienta” para calcular el SIL alcanzado introduciendo

parámetros y datos poco realistas o incorrectos.