Análisis, Diseño e

Implementación de un
Sistema Instrumentado
de Seguridad (SIS),
ANSI/ISA-61511.
Standards
Certification
PONENTE:
Education & Training M. Ing. Erick O. Martínez Aguirre
Publishing Teléfono 5554702806
Conferences & Exhibits
Correo: eomartin@imp.mx
1
Abril 2019
Alcances del estándar ANSI / ISA-61511
En partícular

Ref. Automatización del Ciclo de Vida de un SIS, para cumplir con los requerimientos de la IEC
61511 y/o ANSI/ISA 84.00.01. Herramienta de automatización, L. M. García, ISA Sección
España.

2#
Estándar ANSI / ISA-IEC 61511-Parte 1.

3#
Estándar ANSI / ISA-IEC 61511-Parte 1.

4#
Estándar ANSI / ISA-IEC 61511-Parte 2.

5#
Estándar ANSI / ISA-IEC 61511-Parte 2.

6#
Estándar ANSI / ISA-IEC 61511-Parte 3.

7#
Estándar ANSI / ISA-IEC 61511-Parte 3.

8#
Estándar ANSI / ISA-IEC 61511-Parte 3.

9#
Estándar ANSI / ISA-IEC 61511-Parte 3.

10#
Jerarquización de

Riesgos

11#
Jerarquización de riesgos

Categorías de Frecuencias

12#
Jerarquización de riesgos

Categorías de
Consecuencias

13#
Jerarquización de riesgos

Matriz de Riesgo

14#
Jerarquización de riesgos

15#
Jerarquización de riesgos

Riesgo No Tolerable (Tipo A):

El riesgo requiere se implementen acciones inmediatas temporales y permanentes.

Un riesgo Tipo "A" representa una situación de riesgo no tolerable y deben
establecerse Controles Temporales Inmediatos si se requiere continuar operando. Se
debe realizar una administración de riesgos temporal y permanente por medio de
controles de ingeniería y/o factores humanos hasta reducirlo a Tipo “C”.

16#
Jerarquización de riesgos

Riesgo Indeseable (Tipo B):

El riesgo requiere se implementen acciones inmediatas permanentes. Un riesgo Tipo

“B“ representa una situación de riesgo Indeseable y deben establecerse Controles
Permanentes Inmediatos. Se debe realizar una administración de riesgos permanente
por medio de controles de ingeniería y/o factores humanos permanentes hasta
reducirlo a Tipo “C” y en el mejor de los casos, hasta riesgo Tipo “D”.

17#
Jerarquización de riesgos

Riesgo Aceptable con Controles (Tipo C):

El riesgo es significativo, pero se pueden gestionar con controles administrativos. Un

riesgo Tipo “C" representa una situación de riesgo Aceptable siempre y cuando se
establezcan Controles Permanentes. Las acciones correctivas y preventivas
permanentes que se definan para atender estos hallazgos, deben darse en un plazo
no mayor a 180 días.

18#
Jerarquización de riesgos

Riesgo Tolerable (Tipo D):

El riesgo no requiere de acciones correctivas y preventivas adicionales, es de bajo

impacto. Un riesgo Tipo “D" representa una situación de riesgo tolerable. Se debe
continuar con los programas de trabajo para mantener la integridad de las capas de
protección.

19#
Conceptos básicos de Fiabilidad

• El término Fiabilidad (reliability) tiene varios significados, y por lo

tanto puede ser confuso.
• Es una rama de la ingeniería que estudia lo relativo a la operación
exitosa y fallas de sistemas y las estructuras y su análisis, modelado
y cuantificación.
• Es también un atributo de la medida con que un dispositivo o
sistema mide su probabilidad o frecuencia de operación libre de
fallas. Por lo tanto puede cuantificarse con diferentes medidas: Tasa
de fallas, tiempo medio a las fallas (MTTF), disponibilidad, e incluso
confiabilidad!
• La Fiabilidad es también un parámetro, definido como la
probabilidad de que un dispositivo desarrolle su función durante un
periodo específico de tiempo bajo condiciones específicas.
Tasa de fallas

• Tasa de fallas: Número de fallas por unidad de tiempo

• Curva tina de baño (bathtub curve)
• Los sistemas electrónicos tienen entonces una tasa de
fallas constante λ


Mortalidad
Vida útil Desgaste
infantil
Tasa de fallas

t
Medidas de confiabilidad

 LaFiabilidad se cuantifica como:

 t
R(t )  e
 La InFiabilidad, o probabilidad de falla, es igual
a:
F (t )  1  R(t )
F (t )  1  e  t

 Asumiendo que λt es muy pequeño (<< 0.1), la

probabilidad de falla se puede cuantificar como:

F (t )  t
Medidas de confiabilidad

• Tiempo medio a las fallas (MTTF): Es el tiempo estimado a

una falla. Para componentes individuales se cuantifica como:
1
MMTF 

• Nótese que esta ecuación es válida sólo para componentes
individuales con tasa de falla constante o un arreglo en serie
cuyos componentes tiene tasa de falla constante.

• Tiempo medio a la reparación (MTTR): El tiempo estimado

para reparar un dispositivo.

• Tiempo medio entre fallas (MTBF): Tiempo estimado entre

fallas. Aplica para sistemas reparables.
MTBF = MTTF + MTTR
 Confiabilidad de sistemas

• La Fiabilidad total de un sistema se puede cuantificar considerando la

estructura particular que lo conforma.
• Las estructuras más básicas son serie y paralelo
• Una estructura alternativa en el sistema MooN (M de N), en donde N
representa el número de unidades redundantes y M el número mínimo de
unidades requeridas para votar de acuerdo para ejecutar la función del
sistema. Esto implica que se requieren por lo menos M unidades para que el
sistema opere.
Sistema en serie Sistema en paralelo

1 2 3 2

Sistema MooN Sistema MooN

1 2 1

1 3 2 2/3

2 3 3
Confiabilidad de sistemas

• Fiabilidad en sistemas en serie:

n
Rsys  1  (1  R1 )  (1  R2 )    (1  Rn )  1   (1  Ri )
n i 1
Fsys  F1  F2    Fn   Fi
i 1

• Fiabilidad en sistemas en paralelo:

n
Rsys  1  (1  R1 )  (1  R2 )    (1  Rn )  1   (1  Ri )
n i 1
Fsys  F1  F2    Fn  1   Fi
i 1

• Fiabilidad en sistemas MooN:

n
 n!  i n
n i
Rsys    
R (1  R ) n i
   
iR (1  R ) n i

im  i! ( n  i )!  im  
Modos de falla de un SIS

• De acuerdo a sus consecuencias, un sistema de

seguridad puede fallar en dos formas distintas:
– Fallas peligrosas (D). Fallas que tienen como consecuencia
potencial un evento peligroso
– Fallas seguras (S). Fallas que no tienen como consecuencia
potencial un evento peligroso. Generalmente la consecuencia es
disparo en falso.
– Consecuentemente la tasa de falla total es:

  
T D S
Fallas aleatorias y fallas sistemáticas

• Fallas aleatorias de hardware son causadas por

degradación interna, la cual puede ser acelerada por
factores de estrés
• Fallas sistemáticas son prácticamente todas la fallas
originadas por otras causas.
• Puedes ser originadas por estrés, diseño e interacción
(operación).
• Las fallas sistemáticas pueden impedir que un elemento
desarrolle su función incluso si el elemento es capaz de
operar (p.e. un setpoint de disparo mal calibrado)
• Las fallas sistemáticas no son susceptibles de ser
cuantificadas
Clasificación total de fallas

Failure
classification

Random Systematic
hardware failures failures

Stress-caused Design Interaction or

Aging failures
failures failures operational failures

Dangerous failures Safe failures

Independent failures Common cause failures Independent failures Common cause failures

Detected Undetected Detected Undetected Detected Undetected Detected Undetected

DDN DUN DDC DUC SDN SUN SDC SUC

Modos de falla de un SIS
Modos de falla de un SIS
Probabilidad de falla bajo demanda PFDavg

• Recordemos que el SIL es un nivel discreto entre 1 y 4 asignado a

cada FIS
• Es la medida de la probabilidad de una SIF de ejecutar su función
de seguridad como respuesta a un peligro
• El SIL está determinado por la probabilidad de falla bajo demanda
promedio
• La PFD es la probabilidad de que una FIS falle al momento de que
se le requiera actuar. Por lo tanto, mientras más baja mejor.
• La PFD se cuantifica utilizando las fallas peligrosas solamente
Probabilidad de falla bajo demanda PFDavg

• La ecuación de la PFDavg para un solo

componente es:
PFDavg = 1/2 · λD · TI
• Se puede observar que la PFD está en función
de la tasa de fallas peligrosas y también la el
intervalo de pruebas TI

¿Por qué creen que está el factor ½ en la ecuación?

Ecuaciones simplificadas

• Las ecuaciones simplificadas para la

PFDavg en su forma más simple son:

1oo1 1oo2 1oo3

½·λD·TI 1/3·λD2·TI2 1/4·λD3·TI3
2oo2 2oo3 2oo4
λD·TI λD2·TI2 λD3·TI3
Cálculos de PFDavg del sistema

• La PFDavg total del sistema se determina calculando la

PFDavg de todos los componentes o subsistemas de
cada FIS y combinando estos valores
Selección vs Verificación de SIL

• La selección del SIL es el acto de seleccionar cuál será

el SIL objetivo de una FIS
• La selección del SIL puede ser llamada por otros
nombres, lo cual puede ser confuso:
– Asignación
– Determinación
– Clasificación
– Rankeo
• Nótese que el término verificación de SIL es algo
diferente. Este se refiere a calcular el nivel SIL
alcanzado por una FIS después de que esta fue
diseñada, para verificar que efectivamente alcanza el
SIL objetivo
Determinación de SIL ≠ Verificación de SIL
Métodos para determinación de SIL

• Método cuantitativo
• Métodos semi-cuantitativos
– Gráfica de riesgo calibrada
– Análisis de Capas de Protección (LOPA)
• Métodos cualitativos
– Matriz de riesgo
– Gráfica de riesgo

• Todos los métodos tienen similitudes:

– Requieren un análisis de identificación de peligros previo
– Requieren un análisis de riesgos, el cual varía en profundidad
de acuerdo al método (cualitativo o cuantitativo)
– Requieren un criterio de riesgo
– Requieren juicio experto
Tolerancia de riesgo

El marco de referencia para la tolerancia de riesgo* se resume en tres

niveles:
Nivel de riesgo

Región Obligatorio
intolerable tomar acciones
para reducir el
riesgo

Región ALARP
Tomar acciones
hasta ALARP

Región
generalmente No se requiere
aceptable más acción

ALARP significa “tan bajo como sea razonablemente practicable” (as low as
reasonably practicable)
Reducción de riesgo

El objetivo de la determinación del SIL es dar un número que

refleje el nivel de reducción de riesgo que debe proporcionar
el SIS: el Factor de Reducción de Riesgo (RRF)

Riesgo
inherente
clase
Reducción de • Para reducir el riesgo se
Intolerable III
riesgo debe disminuir la
proporcionada
por otras capas frecuencia o la severidad
de protección
de consecuencias.
RIESGO

clase
ALARP
II Reducción de
riesgo • El SIS generalmente
proporcionada
RRF por el SIS aborda la reducción de la
clase
Riesgo
frecuencia
I
residual
Generalmente
aceptable
SIL objetivo

El SIL objetivo de una FIS es proporcional a la reducción

de riesgo que debe proporcionar esa FIS

Riesgo
inherente
clase
Reducción de
Intolerable III
riesgo
proporcionada
por otras capas
de protección
RIESGO

clase
ALARP
II Reducción de
riesgo
proporcionada
RRF por el SIS
clase
Riesgo
I
residual
Generalmente
aceptable
Análisis de las Capas de Protección (LOPA)

• El método de Análisis de la Capas de Protección se

considera una herramienta semicuantitativa de análisis
de riesgo
• Evalúa la efectividad de las capas de protección
existentes para reducir la frecuencia de un evento
peligroso
• Provee una base consistente para evaluar si existen
suficientes capas de protección independientes para
alcanzar el objetivo de reducción de riesgo
• Evalúa si las capas de protección son independientes
Análisis de las Capas de Protección (LOPA)

• Consiste en identificar la severidad y la probabilidad

estimada de un evento iniciador (el evento que
desencadena en marcha el evento peligroso)
• Y se calcula la probabilidad modificada del evento
peligroso reducida por acción de las capas de protección
independientes
• La probabilidad del evento resultante se compara contra
el criterio de riesgo tolerable para determinar el Factor
de Reducción de Riesgo Requerido
• Este método permite identificar las capas de protección
que se tienen
• El riesgo del evento peligroso se aproxima utilizando los
diferentes factores en orden de magnitud
Descripción del método de LOPA

1. Definir el evento peligroso y sus consecuencias

2. Identificar el nivel de severidad
3. Para ese nivel de severidad identificar, del criterio de riesgo, el
nivel de probabilidad tolerable, llamada la Probabilidad Objetivo de
Evento Mitigado POEM
4. Identificar el evento iniciador del evento peligroso
5. Identificar la frecuencia estimada del evento iniciador FEI
6. Identificar las capas de protección independientes disponibles IPL
7. Para cada capa de protección identificar su probabilidad de falla
bajo demanda (PFD)
 Descripción del método de LOPA

8. Identificar si hay modificadores condicionales y la probabilidad de

cada modificador
9. Calcular la Frecuencia Intermedia del Evento Mitigado FIEM
FIEM = FEI x PFD(CPI1) x PFD(CPI2) x ... x PFD(CPIN) x P(MC1) x P(MC2) x ... x P(MCN)

10. Compare la frecuencia del evento mitigado FEM al nivel de

probabilidad tolerable POEM. SI FIEM>POEM entonces se
requiere una NIS para proveer reducción de riesgo adicional
11. El factor de reducción de riesgo se obtiene dividiendo la frecuencia
del evento mitigado sobre la probabilidad tolerable del evento
FRR = FIEM/POEM
12. La PFDavg=1/FRR, lo cual nos da el SIL requerido
Capa de protección independiente (IPL)

• Las capas de protección a considerar en el LOPA deben

ser independientes
• Independientes de otras capas de protección
• Independientes de la causa iniciadora
IPL
• Condiciones de una IPL son:
– Independiente de otras capas de protección y del evento
iniciador
– Efectiva (dedicada) para proteger contra el evento iniciador,
– Auditable (que se pueda probar)
– Confiable: PFD es igual o menor a 0.1
Ejemplos de valores LOPA*

*Fuente: Layer of Protection Analysis. Simplified Process Risk Asessment. Center for Chemical Process
Safety. New York 2001
Ejemplos de valores LOPA*

*Fuente: Layer of Protection Analysis. Simplified Process Risk Asessment. Center for Chemical Process
Safety. New York 2001
Ejemplos de valores LOPA*

*Fuente: Layer of Protection Analysis. Simplified Process Risk Asessment. Center for Chemical Process
Safety. New York 2001
Ejemplos de valores LOPA*

*Fuente: Layer of Protection Analysis. Simplified Process Risk Asessment. Center for Chemical Process
Safety. New York 2001
Ejemplos de valores LOPA*

*Fuente: Layer of Protection Analysis. Simplified Process Risk Asessment. Center for Chemical Process
Safety. New York 2001
El Nivel de Integridad de Seguridad (SIL) de
un producto esta determinado por tres cosas:

• La Tasa de Capacidad Sistemática (Systematic

Capability Rating).
• La Restricción Arquitectura de sus Elementos
(Arquitectural Constraints for the Element).
• El Cálculo de Probabilidad de Falla en Demanda
Promedio del Producto (PFDavg Probability of
Failure Demand Average).

Es decir, de esta manera podemos asegurar el adecuado cumplimiento de

una función instrumentada de seguridad (SIF).
Cumplimiento del Nivel de Integridad de
Seguridad (SIL) de un Producto

PFDavg. Architectural
Constraints

Cumplimiento
“Compliance”

SIL Capability
 The Systematic Capability

“La Capacidad Sistemática (Systematic Capability) es

establecida, para asegurar que un producto cuenta con
un Sistema de Gestión de Calidad (Quality
Management System QMS) que fue auditado
cumpliendo con la norma IEC 61508. Si el QMS cumple
con los requerimientos de la norma IEC 61508,
entonces se asigna un valor de capability al SIL.

Es decir, un Systematic Capability (SC) para un SIL se interpreta, por ejemplo:

SC3 (SIL 3 Capable). Un producto entonces, cuenta con un certificado que
indica su SC.
 The Arquitectural Constraints

“La Restricción de Arquitectura (Arquitectural

Constraints), es establecida para seguir la Ruta 1H
(Route 1H) o la Ruta 2H (Route 2H). La Ruta 1H
(Route 1H), involucra el cálculo de fracción de falla
segura para un elemento. Por ejemplo, una válvula, es
típicamente un componente de un elemento final de
una función instrumentada de seguridad (SIF). Ruta 1H
(Route 1H): SIL basado en Architectural Constraints
(SILac) o Ruta 2H (Route 2H).

Ruta 1H (Route 1H) – Basado en tolerancia a las fallas y la fracción de fallas

seguras.
Ruta 2H (Route 2H) – Basado en datos de confiabilidad obtenida de usuarios
finales, altos niveles de confianza en los datos y tolerancia a las fallas.
 Tipos de Redundancia

Redundancia

Pasiva
Activa
(Standby)

Total Parcial Condicionada Unidades Unidades

Idénticas Diferentes

Este diagrama, considera que la redundancia no tiene reparación y esto

asume, que si una unidad redundante falla, entonces el resto fallara hasta
que el sistema total falle.
The Probability of Failure on Demand
(PFDavg.)

The Probability of Failure on Demand (PFDavg.)

“La Probabilidad de Falla en Demanda Promedio

(PFDavg), esta basada en la tasa de falla peligrosa, en
los diagnósticos del sistema, en la cobertura de la
prueba periódica (Proof Test) y los intervalos de prueba
(Test Intervals). Tipicamente, el ensamble de un
elemento final tendrá una PFDavg de un SIL 1. Sin
embargo, hay algunos aspectos a considerar como
diagnósticos y la prueba periódica que pueden mejorar
la PFDavg hasta SIL 2.
El SIL esta en la PFDavg bajo demanda (Low Demand).
Hay nueve (9) variables importantes que se
deben considerar en la PFDavg:

1. Las Tasas de Falla de cada producto, debe incluir los modos

de falla y cualquier cobertura de diagnóstico, que se incluyen
en los diagnósticos automáticos.
2. La Redundancia de los elementos incluirá los fallos de causa
común (Un atributo de diseño de cada SIF).
3. Los Intervalos de Prueba Periódica (Asignado por las prácticas
del usuario final).
4. El Tiempo Medio para Reparar (MTTR); (Un atributo asignado
por las prácticas del usuario final).
5. Efectividad de la Prueba Periódica (Proof Test); (Un atributo
del Método de Prueba Periódica utilizado).
Hay nueve (9) variables importantes que se
deben considerar en la PFDavg:

6. El Tiempo de Misión (Mission Time); (Un atributo asignado por

las prácticas del usuario final).
7. Prueba Periódica con el proceso en línea (Process online) o
en paro (Shutdown); (Un atributo asignado por las prácticas
del usuario final).
8. Duración de la Prueba Periódica (Un atributo asignado por las
prácticas del usuario final).
9. Capacidad para la Operación / Mantenimiento (Un atributo
asignado por las prácticas del usuario final).
¿Que es una Prueba Periódica (Proof Test)?
“Prueba Periódica (Manual),
ejecutada para detectar fallas
ocultas peligrosas en un sistema
relacionado con seguridad, con el
objeto de que si fuera necesaria
su reparación, el sistema sea
reparador en una condición que lo
deje tan nuevo como (“As good
as”) sea posible, o tan cercano
como sea prácticamente posible a
nuevo”
Ref. IEC 61508-2010, Part. 4, 3.8.5.
“El propósito de la Prueba
Periódica (Proof Test), es detectar
cualquier falla no detectada por
los diagnósticos automáticos en
línea (on-line diagnostics) – fallas
peligrosas (dangerous failures),
fallos de diagnósticos (diagnostic
failures), fallos de un componente
(parametric failures) y para
detectar, cualquier cambio no
autorizado en la programación”
Ref. SIS 101, EXIDA.
Restricciones Arquitectura de integridad de
seguridad de hardware en IEC 61508

• La norma IEC 61508 es la base de las otras normas de

seguridad funcional
• Esta norma es genérica aplicable a cualquier tipo de
industria (proceso, nuclear, maquinaria, automotriz, etc.)
• ISA 84.00.01 (IEC 61511) es específica a industria de
proceso
• Para cumplimiento con los requerimientos de hardware,
o sea el nivel SIL, la norma IEC 61508 además
establece “restricciones de arquitectura de integridad de
seguridad de hardware” (architectural constraints)
Rutas 1H y 2H de cumplimiento
en IEC 61508

• De este modo, el SIL más alto que se puede alcanzar

por una FIS está limitado por:
– La PFDavg de la FIS, y…
– Las restricciones de integridad de seguridad de hardware
• Las restricciones de arquitectura de integridad de
seguridad de hardware se pueden cubrir por dos rutas
alternativas:
• Ruta 1H – Basado en tolerancia a las fallas y la fracción
de fallas seguras
• Ruta 2H – Basado en datos fiabilidad obtenida de
usuarios finales, altos niveles de confianza en los datos
y tolerancia a las fallas.
Restricciones Arquitectura en IEC 61508
Ruta 1H

• Las restricciones de arquitectura son condiciones que

una FIS debe cumplir para poder decir que alcanza un
cierto nivel SIL (aparte de la PFD requerida)
• El objetivo es evitar que se pueda decir que se cumple
con un SIL especifico utilizando datos de tasas de falla
que sean excesivamente optimistas
• Evitando diseños de SIL sin un nivel adecuado de
redundancia
• Tres restricciones para la ruta 1H:
1. Tipo de subsistema (A o B)
2. Tolerancia a las fallas del hardware
3. Fracción de fallas seguras
Restricciones Arquitectura en IEC 61508
Ruta 1H

*Fuente: IEC 61508-2010 Part 2

Restricciones de Arquitectura en IEC 61508
Tipo de subsistema

• Tipo A
– Modos de falla están bien definidos
– El comportamiento bajo condiciones de falla esta completamente
definido
– Existen datos confiables y suficientes de tasas de fallas
obtenidos de campo que demuestran que las tasas de falla
asociadas al hardware para todas las fallas peligrosas se
cumplen
• Tipo B
– Si alguna de esas condiciones no se cumple

• ¿Cuáles serían algunos ejemplos?

Restricciones de Arquitectura en IEC 61508
Tolerancia a las fallas de hardware

• La tolerancia a las fallas es la habilidad de mantener la

capacidad de desarrollar la función de seguridad en la
presencia de fallas
• Se refiere al numero de fallas que un subsistema puede
tolerar ante de resultar en falla del sistema
• La tolerancia a las fallas se implementa con redundancia
y votación
• La redundancia se refiere a utilizar equipo o partes
extras que normalmente no son necesarios para
desarrollar la función de seguridad, pero se agregan
para tolerar fallas
• La redundancia es paralela (1ooN), o por voteo MooN
TF = M-N
Restricciones de Arquitectura en IEC 61508
Fracción de fallas seguras

• Es la fracción (en porciento) de las fallas del subsistema

que se consideran “seguras”

SFF = (λS + λDD) / λT

• Esta fórmula asume que las fallas peligrosas detectadas

serán convertidas en seguras al momento de ser
detectadas
Restricciones de Arquitectura en IEC 61508
Ejemplo 1

• Un switch de presión tiene las siguientes tasas de fallas:

– SD = 0.68x10-6/hr
– SU = 6.13x10-6/hr
– DD = 0.41x10-6/hr
– DU = 3.70x10-6/hr

• Determine cuál SIL podría alcanzar por restricciones de

arquitectura en las configuraciones:
– 1oo1
– 1oo2
Restricciones de Arquitectura en IEC 61508
Ejemplo 1
Restricciones de Arquitectura en IEC 61508
Ejemplo 2

• Un transmisor inteligente de presión tiene las siguientes

tasas de fallas:
– SD = 0.26x10-6/hr
– SU = 0.12x10-6/hr
– DD = 0.05x10-6/hr
– DU = 0.10x10-6/hr

• Determine cuál SIL podría alcanzar por restricciones de

arquitectura en las configuraciones:
– 1oo1
– 2oo3
Restricciones de Arquitectura en IEC 61508
Ejemplo 1
Restricciones de Arquitectura en ISA84

Para resolvedores lógica electrónico programables (PLCs)

la tolerancia a las fallas mínima debe ser de acuerdo a la
tabla 5
Restricciones de Arquitectura en ISA84

• Para todos los subsistemas, excepto resolvedores lógica electrónico

programables (PLCs), la tolerancia a las fallas mínima debe ser de
acuerdo a la tabla 6
• Asumiendo que:
– El modo dominante de falla es fallas seguras, o
– Las fallas peligrosas son detectadas
• De otra forma debe ser aumentado un nivel
• La tolerancia a las fallas en tabla 6 puede ser reducida un nivel si:
– El hardware puede ser considerado “prior use” (uso previo)
– El dispositivo permite ajuste solamente de parámetros relacionados al
proceso
– El ajuste de esos parámetros esta protegido (p.e. jumper, password)
– El SIL objetivo es menos de 4
• Alternativamente, el cumplimiento de las restricciones de
arquitectura puede hacerse de acuerdo a IEC 61508-2
Hardware considerado de “Prior Use”

• El hardware que puede se considerado de “prior use”

deben cumplir con:
– Existe evidencia apropiada (y documentada) de que los
componentes y subsistemas son adecuados para su uso en el
SIS
– Para elementos de campo, existe experiencia operativa
extensiva
– El nivel de detalle de la evidencia debe corresponder con la
complejidad del dispositivo y de la aplicación (nivel SIL)
• La evidencia debe incluir:
– Consideración del sistema de calidad, su gestión y la gestión de
configuración
– Demostrar el desempeño de los componentes o subsistemas en
condiciones similares de operación y ambientales
– El “volumen” (tiempo) de experiencia en operación
Hardware considerado de “prior use”

• En términos prácticos, se puede considerar prior use si:

– Se apega a una funcionalidad especifica
– Existe experiencia previa en campo en una aplicación similar y
en un ambiente similar
– Se tiene evidencia histórica documentada de falla sistemática
baja (entre 10000 y 25000 años de operación con un nivel de
confianza de por lo menos 70%)
– La tasa de fallas peligrosas nunca se ha excedido
– O sea, se ha demostrado seguridad y confiabilidad en una
aplicación similar

• Muy difícil de demostrar, por lo tanto casi no se utiliza

Restricciones de Arquitectura en
IEC 61511 Ed 2

• Las restricciones de arquitectura en IEC 61511 Ed. 2 ha

cambiado
• Se espera que pronto ISA 84 adopte la nueva versión de
IEC 61511
• Se ha eliminado por completo el requerimiento de SFF
 ¿Preguntas?

Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
75#
ISA SECCIÓN CENTRAL MÉXICO

AGRADECE SU ATENCIÓN, MUCHAS GRACIAS!!!!!!

ISA Sección Central México.

http://www.isamex.org/

Datos de contacto:
M. Ing., CFSE, PHA Leader Mario Pérez Marín
Análisis de Riesgo y Seguridad Funcional IMP
Delegado de ISA Secc. Central México
mpmarin@imp.mx

M. Ing. Erick O. Martínez Aguirre

Análisis de Riesgo y Seguridad Funcional IMP
Director del Comité de Seguridad ISA Secc. Central México
eomartin@imp.mx