 LEGISLACIÓN: Son leyes dictadas por funcionarios electos, ya sea a nivel nacional,
estadal, municipal, etc.
 REGULACIÓN: Son normas que tienen el peso de la ley. En USA existen varios
organismos encargados de la regulación asociada a temas de seguridad, entre ellos
la OSHA (“Occupational Safety and Health Act”), la EPA (Environmental
Protection Act).
 ESTÁNDARES: Consenso de un grupo de industrias con respecto a los niveles
mínimos de ingeniería aceptable.
 PRÁCTICAS RECOMENDADAS: Recomendaciones de ingeniería de un grupo de
industrias.
 NORMAS Y ESTÁNDARES
 

 Norma IEC 61508 – Functional Safety of Electrical/Electronic/Programmable

Electronic Safety Related Systems. Aplica en general a todo el ciclo de vida de
los sistemas instrumentados de seguridad

I&
C
 – 
Cu
rso
HI
M
A
R.
1-
Pa
rte
2-
Se
rvi
cio
s
Ed
uc
ati
vo
s
Ho
 ja
3
 

Norma IEC 61511 – Functional Safety: Safety Instrumented Systems for the Process
Industry Sector. Aplica a todo el ciclo de vida de los sistemas instrumentados de
seguridad aplicados al sector de procesos (Ej. Petróleo y gas, petroquímica, etc).
 

Norma ANSI/ISA S84.01 – Application of Safety Instrumented Systems for the

Process Industries. Aplica fundamentalmente a la etapa de realización del ciclo
de vida de seguridad aplicados al sector de procesos (De obligatorio
cumplimiento en USA).
 

  ANÁLISIS DE PELIGROS Y RIESGOS:En general los peligros en los procesos y su

equipo de control asociado deben ser identificados a través de una de las
metodologías de análisis de peligros. El objetivo del análisis es identificar si se
requiere agregar seguridad funcional para asegurar una adecuada protección
contra cada uno de los peligros significativos. Si se requiere seguridad
funcional, entonces se debe proceder al diseño de los mecanismos de seguridad
de acuerdo a lo indicado en las normas IEC-61508, IEC-61511 y ANSI/ISA
S84.01.
 

 De acuerdo a las estadísticas realizadas por la HSE (Health & Safety

Executive)(www.hse.gov.uk) en 1987 sobre 34 accidentes, se determinó que la mayoría
de los accidentes se debieron a problemas durante la especificación de los sistemas. De
allí la importancia del análisis de peligros y la especificación adecuada del SIS.
 

 ¿ Cómo se identifican las Funciones Instrumentadas de Seguridad ?

 POR EXPERIENCIA: En algunos casos debido a experiencias previas en procesos similares y de
acuerdo a normativas de la empresa, se determinan ciertas funciones. Típicamente estas funciones
se denotan en los diagramas de instrumentación y tuberías (P&ID).
 POR COMPLIMIENTO POR CIERTAS NORMAS: Por ejemplo normas NFPA para sistemas de protección
de hornos y calderas. En este caso, algunas de las funciones de protección ya están definidas en la
norma.
 MEDIANTE METODOS DE ANÁLISIS DE PELIGROS: Estos son procedimientos sistemáticos en el cual
interviene un grupo multidisciplinario para identificar peligros y establecer medidas de seguridad, las
cuales pueden ser mediante funciones instrumentadas y otros medios. Los métodos comúnmente
usados son:
 LISTA DE VERIFICACIÓN (“Check list”): Es muy simple pero poco riguroso, se emplea
fundamentalmente para equipos simples (ej. Bombas).
  ANÁLISIS ¿QUÉ PASA SI?. (“What if”): Es muy similar a la lista de verificación y se utiliza para el
mismo tipo de aplicación.
  ANÁLISIS DE PELIGROS Y OPERABILIDAD (“HAZOP”): Es un método muy formal que se utiliza para
procesos nuevos o únicos, orientado fundamentalmente a la industria de procesos.
  ANÁLISIS DE MODOS DE FALLAS Y EFECTOS (“FMEA”): Se utiliza para procesos de índole mecánica
donde existe gran interacción entre los componentes (ej. Tornos, presas, grúas)
  ÁRBOLES DE FALLA (“Fault Tree”): Es una metodología deductiva, la cual parte del evento impactante
(evento tope) y se desarrolla hacia abajo buscando las causas. Permite el análisis cualitativo y
cuantitativo.
 

 ¿ Cómo se debe especificar una función Instrumentada de seguridad ?

De una función instrumentada de seguridad se debe especificar:
◦ • Qué medir (sensores).
◦ • Qué hacer (funcionalidad).
◦ • Cuándo hacerlo (lógica).
◦ • Qué tan rápido (velocidad de repuesta).
 Ejemplo: Medir presión en el separador, cerrar válvula de admisión y abrir válvula de
venteo en caso de alta presión, emitir alarma a la estación de operación.
 

 En el HAZOP, el proceso es separado en secciones o nodos. Para cada nodo se

selecciona un juego de parámetros, y se trata de determinar si su desviación puede
generar un peligro creíble. De existir esta posibilidad se establecen medidas de
seguridad, entre las cuales puede haber funciones instrumentadas.
 EJEMPLO: Considere el proceso de la figura el cual consiste en un recipiente presurizado,
con su instrumentación asociada, el cual contiene un líquido inflamable. En el proceso
existe un sistema de control básico (BPCS) el cual incluye un transmisor de nivel, el
controlador y la válvula de admisión de fluido para control del nivel (LCV). Los
mecanismos de protección disponibles son: a) Un transmisor de presión que genere una
alarma para que el operador corte el suministro de fluido, b) Una capa de protección no
instrumentada que libere la alta presión hacia “KO drum”, el cual captura los líquidos y
libera los gases hacia un quemador (“Flare”).
 

EJEMPLO...

¿ Se requiere una función instrumentada de

seguridad ?
¿ Cuál es el peligro potencial o evento
impactante ?
¿ Es el riesgo actual tolerable ?
 

 EJEMPLO...

 ¿ Cuál es el peligro potencial ?: Emisión de líquidos inflamables con la

consecuente probabilidad de explosión y daños a personas, al ambiente y
materiales.
 ¿ Es el riesgo actual tolerable ?: Para contestar a esta pregunta primero se
debe establecer el riesgo meta, el cual va a depender de las políticas de
seguridad de la compañía, leyes locales, leyes internacionales, etc. El riesgo
meta se establece en términos de la frecuencia del evento impactante por
año, luego se debe desarrollar un análisis cualitativo, semicualitativo o
cuantitativo, para determinar se el riesgo actual es tolerable, y si no lo es,
implantar medidas externas de reducción de riesgo que pudieran ser
Funciones instrumentadas de seguridad. Siendo este el caso se debe
determinar el grado de reducción de riesgo que debe brindar la función, es
decir su correspondiente SIL.
 

 Personal recomendado para realizar el análisis de peligros y determinación del SIL de

cada SIF.

◦ Especialista en procesos

◦ Ingeniero de control de procesos

◦ Gerente o supervisor de operaciones

◦ Especialista en seguridad

◦ Operador con experiencia en el proceso objeto del estudio

 

 MÉTODO CUANTITATIVO.
 1. Riesgo meta:
 Existen varios métodos para determinar el riesgo meta en forma cuantitativa. La
determinación del riesgo meta está fuera del alcance de este curso (verpaper:
Techniques for Assigning A Target Safety Integrity Level, por Angela E. Summers ), sin
embargo, típicamente se asigna una frecuencia del evento impactante, en función de la
severidad de las consecuencias. Supongamos que la política de la empresa es, que para
eventos que pueden causar daños materiales y muerte a personal de la empresa la
frecuencia máxima tolerable es de un evento cada 10.000 años, es decir, 10-4 eventos
por año (este es entonces el riego meta del ejemplo).

 EJEMPLO...

 2. Evento impactante: Emisión de líquidos y gases inflamables

 3. Estimación de frecuencias: Se debe estimar la frecuencia del evento iniciador
sin las capas de protección, pero con el sistema
básico de control. El método típico para la
estimación de frecuencias es el árbol de fallas.
 

MÉTODO CUANTITATIVO...
EJEMPLO...(Estimación de la frecuencia del evento iniciador)
 

MÉTODO CUANTITATIVO...
EJEMPLO...(Estimación de la frecuencia del evento impactante)
 

MÉTODO CUANTITATIVO...
EJEMPLO...(Definición de la función instrumentada de seguridad y su SIL)
 

MÉTODO CUANTITATIVO...
EJEMPLO...(Definición de la función instrumentada de seguridad y su SIL)
 

MÉTODO CUALITATIVO (Matriz de riesgo) ...

 En este caso para la estimación de las frecuencias del evento impactante se establecen
tres categorías: Baja, Media y Alta. La selección de cuál de las categorías debe ser sada
se debe hacer en base a la historia o registro en experiencias similares si estos datos no
están disponibles, entonces se puede usar la siguiente tabla de la norma IEC- 61511-3.
 

 MÉTODO CUALITATIVO (Matriz de riesgo) ...

 Para estimar el riesgo, se debe estimar también la severidad del evento impactante
además de la frecuencia de ocurrencia. Al igual que el caso de la frecuencia, la
severidad se clasifica en tres categorías: Extenso, Moderado y Menor, de acuerdo a la
siguiente tabla.
 

MÉTODO CUALITATIVO (Matriz de riesgo) (ISA S84.01 e IEC-61511) ...

 EJEMPLO...(Estimación del SIL de la SIF)
 

MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) (IEC-61511) ...

 De acuerdo a la norma IEC-61511, el riesgo en la industria de procesos es una función de los
siguientes parámetros:
 Las consecuencias de la situación peligrosa. (C). Las consecuencias se evalúan enfunción del numero
de fatalidades o lesiones serias que pueden ocurrir como consecuencia del peligro o evento
impactante, y se debe considerar la cantidad de personas expuestas cuando la zona está ocupada.
 La probabilidad de que el lugar expuesto esté ocupado (porcentaje de ocupación). (F). La ocupación
se estima calculando la fracción de tiempo que el área está ocupada.
 La probabilidad de evitar la situación peligrosa. (P). Depende de la posibilidad que tengan las
personas expuestas al peligro de ser alertadas de la situación y de poder escapar de la misma, en
caso de falla de la SIF a ser implantada.
 La tasa de demanda o frecuencia de ocurrencia de la situación peligrosa en ausencia de la SIF cuyo
SIL se desea estimar. (W)
 

MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) Ejemplo de calibración del gráfico ...

 

MÉTODO SEMI-CUALITATIVO (Gráfico de riesgo) Ejemplo de calibración del gráfico ...

 

 MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...

 El método LOPA consiste en la generación de una tabla (ver tabla 6) con cada uno de los
eventos impactantes (1) identificados en el HAZOP. Para cada uno de estos eventos se
debe establecer su severidad (2), la causa iniciadora (3), la tasa de ocurrencia del
evento iniciador (4), las capas de protección existente y su probabilidad de falla (5), para
finalmente determinar la frecuencia del evento impactante sin SIS (6). Si esta frecuencia
no satisface el riesgo meta, entonces se debe implantar una SIF con el nivel SIL (7)
necesario para llevar la frecuencia del evento impactante al nivel tolerable (8) (Riesgo
meta).
 

MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...

1. Evento impactante: En la columna 1 de la tabla se debe colocar cada uno de
los eventos impactantes identificados en el HAZOP.
2. Severidad: Existen tres niveles de severidad de acuerdo a la siguiente tabla:
 

 MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...

3. Evento iniciador o causa: Todos los iniciadores estadísticamente independientes
del evento impactante se deben listar en la columna 3.
4. Frecuencia del iniciador: En la columna 4 se debe indicar la frecuencia en eventos
por año del iniciador o causa. En algunos casos esto se puede hacer mediante el
desarrollo de un árbol de fallas (ver método cuantitativo), o en base a estadísticas o
experiencia previa. También se puede usar como referencia la tabla #3 tomada de la
norma IEC-61511.
5. Probabilidad de falla bajo demanda de cada una de las IPL: Se debe indicar para
cada una de las capas de protección independientes el grado de protección,
expresado en la probabilidad de falla bajo demanda (PFD) de la misma. Los criterios
que debe cumplir una IPL se encuentran definidos en la sección de conceptos
básicos. En la tabla LOPA se listan las IPL típicas, entre ellas elementos incluidos en
el diseño del proceso, como por ejemplo una chaqueta de protección a un recipiente.
6. Capas de mitigación (Incluidas en las IPL): Las capas de mitigación son
típicamente mecánicas, estructurales o procedimentales. Si existen se deben listar, e
indicar su probabilidad de falla bajo demanda. Algunas de las capa típicas de
mitigación son:
 

 MÉTODO DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA) (IEC-61511)...

 VALVULAS DE ALIVIO
 DIQUES
 ZONAS DE ACCESO RESTRINGIDO
 SISTEMAS DE DILUVIO
 PROCEDIMIENTOS DE EVACUACIÓN
 7. Frecuencia intermedia: Se refiere a la frecuencia de ocurrencia por año del evento sin
SIS, lo cual se calcula multiplicando la frecuencia de evento iniciador, por cada una de
las probabilidades de falla de las capas de protección independientes. Si la frecuencia
intermedia es mayor que la requerida, entonces se debe estudiar la posibilidad de
mejorar el diseño, y si no es posible, entonces se debe agregar una función
instrumentada de seguridad con la probabilidad de falla bajo demanda adecuada para
disminuir el riesgo a lo niveles tolerables.
 8. Nivel de integridad (SIL) de la SIF: Si se determinó en el paso anterior la necesidad de
una SIF, entonces si nivel SIL se determina dividiendo el riesgo meta por la frecuencia
intermedia (sin SIS).
 9. Frecuencia del evento mitigado (con SIS): Se calcula multiplicando la frecuencia
intermedia por la probabilidad de falla bajo demanda del SIS, estimada en el paso
anterior.
 

 10. Riesgo Total: En el punto 9 se determina el SIL de cada una de las SIF, sin
embargo, aquí no termina el análisis LOPA. Se debe calcular el riesgo total,
para lo cual hay que sumar todas la frecuencias de eventos serios o extensos
que represente el mismo peligro, por ejemplo fuego o emisión de gases
tóxicos. Para determinar el riesgo de muerte o fatalidades total, por causa del
mismo peligro, se debe utilizar fórmulas como la siguiente:
◦ Riesgo de fatalidad debido a [ej. Fuego] = (frecuencia de ocurrencia total
de emisión de material inflamable) x (probabilidad de personas en el área
(ocupación)) x (probabilidad de muerte en caso de fuego)
 Si el resultado obtenido cumple con los criterios corporativos, y las leyes y
regulaciones al respecto, entonces el análisis LOPA está concluido, de lo
contrario se debe revisar dónde se deben hacer ajustes para minimizar el
riesgo total.
 

 Efectos del SIS

 

 PREGUNTAS FRECUENTES
 • ¿ Puede ser el BPCS considerado una IPL ?:
 Para que el BPCS pueda ser considerado una IPL se deben cumplir las premisas
indicadas en la sección de definición de IPL. En algunos casos la falla del BPCS puede
generar una situación de peligro, sin embargo, el mismo BPCS puede alertar al operador
sobre cierta condición de riesgo. Si por ejemplo la falla del BPCS genera una alta presión
en un recipiente, pero en el mismo recipiente existe un interruptor de alta presión
conectado al BPCS a través de dispositivos independientes (ej. Controladores diferentes)
a aquellos que originan la falla, pudiendo alertar al operador sobre la situación, entonces
el BPCS puede ser considerado como ambos, iniciador y capa de protección
independiente. En todo caso, no se debe tomar la probabilidad de falla bajo demanda
del BPCS menor a 0,1, a menos que dicho BPCS haya sido diseñado de acuerdo a las
normas IEC-61508, e IEC-61511.
 ¿ Cuál es el criterio para usar uno u otro método de análisis y determinación del SIL ?
 El método a seleccionar va a depender de la complejidad de los escenarios, de la
experiencia existente en procesos similares y en condiciones similares y de la severidad
de las consecuencias.
 

 PREGUNTAS FRECUENTES...
 En términos generales para aplicaciones simples con consecuencias de poca
severidad se pueden utilizar métodos cualitativos, en la medida que aumenta la
complejidad y la severidad se deben utilizar métodos más rigurosos. Esto se ilustra
en la siguiente figura, tomada del Libro: “Layer of Protection Analysis” publicado por
la AICHE – CCPS.
 

 ¿ Donde se puede conseguir información con respecto a las tasas y modos de falla de
equipos ?
Existen en el mercado diversas bases de datos de fallas de equipos. A continuación
se mencionan algunas de las mas comunmente usadas en la industria de petróleo y
gas:
◦ "OREDA: Offshore Reliability Data Handbook," ," 3rd Edition, Det Norske Veritas Industri
Norge as DNV Technica, Norway, 2002.
◦ "Guidelines for Process Equipment Reliability Data," ," Center for Chemical Process
Safety of the American Institute of Chemical Engineers, NY, NY, 1989.
◦ • "Non-Electronic Parts Reliability Data,"
," Reliability Analysis Center, Rome, NY,
◦ 1995.
Otras fuentes de datos se pueden encontrar en la página web de Exida.
(www.exida.com). En ocasiones, se toma en cuenta las tasas de fallas suministradas
por los fabricantes de los equipos, o en las bases de datos coorporativas de cada
usuario.
 

Una vez que se determinan las funciones instrumentadas de seguridad y su

correspondiente SIL, se debe proceder a la emisión de las especificaciones de los
requerimientos de seguridad del SIS (SRS de las siglas en inglés).
Las SRS deben contener dos tipos de requerimientos: Funcionales, y de Integridad.
REQUERIMIENTOS FUNCIONALES.
◦ Definición del estado seguro.
◦ Definición de las entradas al sistema sus puntos de disparo.
◦ Rango de operación normal de las variables de proceso involucradas.
◦ Salidas del sistema (SIS) y sus acciones.
◦ Relación entre las entradas y salidas del sistema.
◦ Selección de energizar o des-energizar para disparar (típicamente los sistemas
◦ ESD son des-energizar para disparar, mientras que los sistema de Fuego y Gas
◦ son energizar para disparar.
◦ Consideraciones para hacer parada manual.
◦  Acciones en caso de pérdida de energía.
◦ Tiempo de respuesta para llevar al proceso a su condición segura.
◦ Respuesta ante fallas detectadas por el sistema.
◦ Requerimientos de la “Interface” del operador.
◦ Funciones de Reposición (“Reset”).
◦ Consideraciones para inhibiciones.
 

REQUERIMIENTOS DE INTEGRIDAD.
 SIL requerido para cada función instrumentada de seguridad.
 Requerimientos de diagnóstico para lograr el SIL requerido. El grado de seguridad
que puede brindar un SIS depende de la capacidad de detectar fallas inseguras en el
mismo. Inclusive en sistemas de alta integridad, no todas las fallas pueden ser
detectadas en forma automática, razón por la cual se deben realizar pruebas
manuales con cierta periodicidad, de forma de garantizar el SIL.
 Requerimientos de mantenimiento y pruebas para lograr el SIL requerido. Sobre todo
el mantenimiento de los elementos del SIS suceptibles de fallas en modo común
debe ser sometido a mantenimiento riguroso. Tal es el caso de las tomas a proceso
suceptibles de ser taponadas.
 Requerimientos de tasa de fallas seguras (“Spurious trip”). En muchos casos se
agrega redundancia para hacer diagnósticos por comparación. Esto aumenta el grado
de protección brindado por el SIS (al diminuir el PDF), pero al aumentar el número
de componentes aumenta la tasa de disparo segura. En la mayoría de los procesos,
el arranque del mismo es una de las etapas de mayor peligro, razón por la cual se
debe minimizar la tasa de fallas seguras que obliguen un arranque del proceso.
 

 TECNOLOGIAS A NIVEL DE LOGIC SOLVER

 

TECNOLOGÍAS A NIVEL DE “LOGIC SOLVER” (E/E/PE)...

LIMITACIONES DE LA ESTRUCTURA DE UN SIS CON RESPECTO AL MÁXIMO
SIL...
 UN SUBSISTEMA ES TIPO “A” CUANDO:
◦ El modo de falla de todos sus componentes está bien definido, y El
comportamiento del sistema ante fallas está bien definido, y Existen
suficientes datos de fallas, de experiencia en campo, que demuestran la
tasa de falla declarada por el fabricante.
 UN SUBSISTEMA ES TIPO “B” CUANDO:
◦ El modo de falla de al menos uno de sus componentes no está bien
definido, ó El comportamiento del sistema ante ciertas fallas no está bien
definido, ó No hay suficientes datos de falla recopilados de experiencia en
campo que demuestren el cumplimiento de la tasa de fallas.
 

 MÉTODO POR ECUACIONES SIMPLIFICADAS...

Supuestos
 No contempla fallas dependientes del tiempo, o fallas condicionadas.
 Se asume que la tasa de falla (l) multiplicado por el intervalo de prueba (TI) es mucho
menor que 0,1 (esto es válido para la mayoría de los casos)(l.TI << 0,1)
 Se han despreciado las fallas sistemáticas, las cuales se deben a: Errores en el diseño,
errores en el software, errores en modificaciones, errores de interacción con el usuario,
errores en la implantación del hardware. Generalmente estos errores se minimizan
mediante pruebas en fábrica y pruebas en sitio, así como mediante la aplicaciones de
procedimientos y control de calidad y manejo de cambios.
 

 MÉTODO POR ECUACIONES SIMPLIFICADAS...

 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Procedimiento
 1. Determinar la arquitectura por separado de cada uno de los subsistemas
(sensores, logic solver, elementos finales, sistema de soporte).
 2. Recopilar los datos de las tasas de falla seguras, inseguras, detectadas y
no detectadas de cada componente de los subsistemas. Algunas fuentes de
datos son: Especificaciones de los fabricantes, base de datos OREDA, RAC,
CCPS.
 3. Revisar las fuentes de falla en modo común para las configuraciones
redundantes, y estimar su valor (b). Típicamente el factor beta está entre 0
y 20%. El PDF es muy sensible al factor beta, por lo tanto se debe tener
cuidado al momento de su estimación, se puede usar un valor conservador
de 10%, el cual es de por sí bastante alto.
 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Procedimiento
 4. Estimar el MTTR, es cual incluye el tiempo transcurrido desde ocurre la falla,
hasta que el equipo se vuelve a poner en operación. Se debe considerar el
tiempo de identificación de la falla, el tiempo de transporte del personal y los
repuestos hasta el sitio, el tiempo de reemplazo del componente dañado y el
tiempo de puesta en operación. Típicamente este tiempo se estima entre 4 y 8
horas dependiendo del tipo de componente.
 5. Asignar un tiempo de pruebas manuales. Recuerde que la probabilidad de
fallas es una función del tiempo, que el tiempo de entre pruebas es mayor,
mayor es la probabilidad de fallas, si por el contrario el tiempo es muy
pequeño, representa muchos costos de operación y coloca un riesgo adicional
por errores humanos al poner de nuevo en servicio el componente a probar.
Un valor típico es considerar un tiempo de 1 año, sin embargo, en el caso de
válvulas que tengan capacidad de diagnóstico, puede ser necesario llevar este
tiempo a tres meses o menos para garantizar el SIL.
 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Procedimiento
 6. Aplicar las ecuaciones a cada uno de los sub-sistemas de acuerdo a la arquitectura.
Los valores de MTTR, beta, e intervalos de pruebas, pueden ser diferentes para cada
sub-sistema. En todo caso se debe dejar bien documentados los valores asumidos.
 7. Determinar el PDF promedio de la función instrumentada de seguridad, sumando cada
uno de los PDF obtenidos anteriormente y verificar si este valor cae dentro del rango del
SIL requerido. De no ser así, entonces se debe ajustar los tiempos de pruebas, o hacer
modificaciones a la arquitectura, o usar componentes con tasas de fallos menores.
Generalmente el mayor peso del PDF, recae en los elementos de acción final.
 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Procedimiento
 8. Además de la probabilidad de falla bajo demanda, es de interés calcular la tasa de
disparo segura del sistema, ya que esto ocasiona paradas indeseables de planta por
causa del sistema de protección. Se debe entonces calcular la tasa de disparo segura
(STR). A continuación se muestran las ecuaciones involucradas en dicho cálculo.
 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Procedimiento
 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Ejemplo (ISA TR84)
 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Ejemplo (ISA TR84)
 

MÉTODO POR ECUACIONES SIMPLIFICADAS...

Ejemplo (ISA TR84)
 

 La norma IEC-61508 establece las condiciones para que un dispositivo

eléctrico/electrónico/electrónico programable, pueda ser catalogado como
de seguridad. Se establecen dos tipos de criterios, los cuales deben ser
demostrados y documentados. En general los criterios son:
◦ Certificados por un tercero debidamente capacitado. Esto es llevado a
cabo normalmente por organizaciones como TÜV en Europa y otros
países y “Factory Mutual” en Estados Unidos.
◦ La mayoría de los fabricantes de PLC de seguridad hoy en día
tiene certificados emitidos por TÜV. Este certificado sólo
acredita al equipo para ser utilizado en aplicaciones hasta
determinado nivel SIL y bajo las condiciones indicadas en el
manual de seguridad del equipo (“Safety Manual”).
 

◦ El certificado va acompañado de un reporte que muestra las

limitaciones y alcance del certificado. Debe recordarse que se debe
cumplir con todo el ciclo de vida de seguridad para mantener el riesgo a
nivel tolerable en cierta instalación.
◦ El otro criterio es el denominado “Probado en uso” (“Proven in Use”), el
cual típicamente se aplica para dispositivos simples, tales como
transmisores o válvulas y requiere que se muestre evidencia del
desempeño del equipo durante cierto tiempo de vida (usualmente mas
de 10 años).