Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Prólogo
La “seguridad funcional” ha cobrado gran importancia El lector que requiera información detallada puede
desde la publicación de las normas IEC/EN 61508 e IEC/EN encontrarla en la literatura relacionada con este tema y
61511 El término SIL (nivel de seguridad integral) se utiliza en los reglamentos y normas pertinentes. La información
frecuentemente en este contexto. proporcionado por este catálogo debe considerarse por
Pero, ¿qué es el SIL? tanto como unos ejemplos y no como material para un
estudio específico.
El objetivo de este catálogo es proporcionar una visión
general sobre la “seguridad funcional”. El contenido de este Puede encontrar información detallada sobre este tema y
catálogo se limita básicamente a los ámbitos y aplicaciones certificaciones SIL para productos Endress+Hauser en:
en los que se utilizan productos de Endress+Hauser.
www.es.endress.com/SIL.
Índice de contenidos
1. Peligros y riesgos.................................................................................................................... 4
2. Normas de seguridad funcional ............................................................................................ 5
3. Ciclo de vida............................................................................................................................ 6
4. Minimización de riesgos........................................................................................................ 7
5. Determinar el SIL requerido................................................................................................... 8
6. Modos de operación............................................................................................................... 9
7. ¿Qué equipo puede utilizarse con qué SIL?.........................................................................10
8. Datos característicos ............................................................................................................12
9. Glosario ................................................................................................................................. 14
4 Seguridad funcional
1. Peligros y riesgos
de protección
Schutzmaßnahmen
de protección
Schutzmaßnahmen
SIL 1… 4
Medidas
Riesgo tolerable
tolerierbares Risiko
Risiko ohne
sin
medidas
Riesgo
Riesgo residual
Restrisiko
Risikoreduzierung
Reducción de riesgos
Directivas y Prólogo
normas 5
El desencadenante de un accidente fue un proceso Cambios con respecto a las normas de seguridad
catalítico que implicó la fuga de gas tóxico en la ciudad anteriores los requisitos que deben cumplir los sistemas
de Seveso, en el norte de Italia, en julio de 1976. Desde relacionados con la seguridad se desglosan en la norma
entonces, la directiva 96/82/EC de la comunidad europea IEC/DIN EN 61508 de seguridad funcional. Sensores,
ha establecido las disposiciones legales que deben cumplir sistemas de control o actuadores (elementos finales) deben
las instalaciones que presentan un factor de riesgo tener una clasificación SIL conforme a lo especificado
importante (directiva Seveso II). En Alemania, esta directiva en la norma. Mientras la clasificación relacionada con
se implementó a través de la “norma sobre incidentes la seguridad se basaba anteriormente típicamente en
peligrosos” en la “Ley federal de control de inmisiones” y la consideraciones puramente cualitativas, la nueva norma
“norma sobre seguridad industrial y salud” exige aplicar consideraciones cuantitativas a todo el sistema
(12ª BImSchV y BetrSichV). y documentar un sistema de gestión de la seguridad
funcional. El usuario y las organizaciones de control
En este contexto, debe distinguirse entre productos deben aclarar y determinar qué medidas económicamente
seguros en general y productos desarrollados y diseñados viables serán necesarias. Lo que se pretende con ello es
específicamente para funciones relacionadas con la prevenir errores sistemáticos en los sistemas relacionados
seguridad. En el segundo de los casos, debe cumplirse con la seguridad, controlar fallos aleatorios y reducir la
indispensablemente la norma IEC/DIN EN 61508, desde probabilidad de fallos peligrosos (riesgos), y todo esto de
que se definió con ella el estado de la tecnología actual para una forma bien definida.
la seguridad funcional.
3. Ciclo de vida
Los usuarios de sistemas relacionados con la seguridad • Definir y analizar riesgos según probabilidades de fallo,
deben tomar medidas apropiadas para analizar y reducir los detallándolos en informes de demanda para todo el
riesgos a lo largo de todo el ciclo de vida. La norma IEC/DIN circuito de seguridad (lazo), desde el sensor hasta el
EN 61508 prescribe algunos pasos para ello: sistema de control y elemento final (actuador), y durante
todo el ciclo de vida.
• Determinar e implementar las medidas
(gestión de la seguridad funcional).
• Utilizar equipos apropiados (certificados).
Sicherheits-Lebenszyklus
Ciclo de vida de la seguridad
Gestión de
Sicherheits-
Especificaciones
Spezifikation
la seguridad
Management
Planung unde
Planificación
+ Implementierung
implementación
Requisitos
Technische Installationyund
Instalación puesta
técnicos
Anforderungen Inbetriebnahme
en marcha
+ Operación
Betrieb undy
mantenimiento
Wartung
Cualificación
Qualifikation
Fehlerursachen
Causas de errores del personal
Personal Änderungtras
Cambios nach
la
Inbetriebnahme
puesta en marcha
Retiradas del
Außerkraftsetzung
servicio
Reducción dePrólogo
riesgos 7
4. Reducción de riesgos
© Wolfgang Jargstorff - Fotolia.com
Cada aplicación tecnológica implica también riesgos para El objetivo de la norma IEC EN 61508 es impedir o
la seguridad. Cuanto mayor es el riesgo para personas, controlar de una forma determinada la ocurrencia de
el medio ambiente o los bienes, más contramedidas han errores en sistemas relacionados con la seguridad y limitar
de tomarse para minimizar el riesgo. En las aplicaciones la probabilidad de fallos peligrosos. Exige documentar
industriales, se ven muchos sistemas y máquinas con cuantitativamente cualquier riesgo residual que exista. La
distintos potenciales de peligrosidad. Para alcanzar el reducción de riesgos requerida se consigue por combinación
nivel de seguridad requerido para dichos sistemas, los de todas las medidas de protección. El riesgo residual no
componentes relacionados con la seguridad de los sistemas debe superar el riesgo tolerable. Finalmente, el jefe de
de protección deben funcionar correctamente para que el planta debe asumir y aceptar los riesgos residuales que
sistema permanezca en un estado seguro o vaya hacia un queden.
estado seguro en caso de producirse un error.
8 Seguridad funcional
Sistemas distintos presentan riesgos distintos. Los Cuanto mayor es el número del nivel de seguridad integral
requisitos de seguridad contra fallos de los sistemas (SIL), mayor es la reducción de riesgos. El número SIL indica
instrumentados de seguridad (SIS) son por tanto también pues el nivel de probabilidad de que el sistema de seguridad
mayores cuando el riesgo es mayor. Las normas IEC/ satisfaga correctamente las funciones de seguridad
DIN EN 61508 y IEC/DIN EN 61511 definen cuatro niveles requeridas en un tiempo determinado. La probabilidad
de seguridad que describen las distintas medidas a tomar media de fallo (PFD o PFH) disminuye en un factor 10 con
para controlar los riesgos de estos componentes. Estos cada incremento en nivel de seguridad.
cuatro niveles de seguridad se denominan niveles de
seguridad integral o SIL.
CA
– – Consecuencias del daño
PA CA Lesiones leves a una persona o efectos dañinos de impacto
FA
SIL 1 SIL 1 – menor sobre el medio ambiente, como los no contemplados
en la “norma sobre incidentes peligrosos”.
PB CB Lesiones graves e irreversibles a una o más personas o
SIL 2 SIL 1 SIL 1
CB muerte de una persona o efectos dañinos transitorios pero a
PA gran escala sobre el medio ambiente, como los descritos en
SIL 2 SIL 2 SIL 1 la “norma sobre incidentes peligrosos”.
FB
CC Muerte de varias personas o efectos dañinos persistentes y a
PB
SIL 3 SIL 2 SIL 2 gran escala sobre el medio ambiente, como los descritos en
la “norma sobre incidentes peligrosos”.
FA CD Consecuencias catastróficas, muerte de muchas personas.
SIL 3 SIL 3 SIL 2
CC
FB Frecuencia y tiempo de exposición
SIL 4 SIL 3 SIL 3 FA Raro a algo más frecuente
FB Frecuente a permanente
CD
– SIL 4 SIL 3
Probabilidad de evitar el peligro
Consecuencia PA Posible en determinadas circunstancias
de los daños Dispositivos de PB Apenas posible
Frecuencia y tiempo seguridad de control
de exposición de proceso Probabilidad de ocurrencia no deseada
Probabilidad de insuficientes W1 Muy pequeña
evitar el peligro W2 Pequeña
W3 Relativamente alta
Referencia: IEC 61511
6. Modos de operación:
baja demanda y alta demanda
Se consideran dos modos de operación distintos cuando se clasifican los
equipos según SIL:
Modo operación de baja demanda y modo operación de alta demanda.
Para alcanzar un nivel de seguridad integral (SIL 1 a SIL4), Errores aleatorios. los errores aleatorios se deben a fallos
el SIS en su totalidad tiene que cumplir los requisitos en el hardware y se producen normalmente solo durante
necesarios en cuanto a errores sistemáticos (software) y su funcionamiento. Los errores y la probabilidad de fallo
errores aleatorios (hardware). El resultado de la evaluación asociada son magnitudes que se pueden calcular.
de todo el circuito de seguridad tiene que corresponder por Estos cálculos se realizan a nivel de componente para
tanto al del SIL requerido. Esto depende normalmente de cada componente. Se obtienen con ellos el valor PFD y
la estructura y arquitectura del dispositivo de seguridad. constituyen la base para determinar el valor SIL.
Por este motivo, equipos SIL 2 con estructuras de voto
redundantes puede utilizarse en sistemas SIL 3. Debido Errores sistemáticos. los errores sistemáticos se
a la estructura redundante de los sistemas que utilizan encuentran típicamente en desarrollo, diseño o
equipos SIL 2 equivalentes, el software ha de satisfacer SIL configuración de proyecto. La mayor parte de los errores
3 en caso de redundancia homogénea en cuanto a errores sistemáticos se producen en el software de dispositivos.
sistemáticos. Para satisfacer los requisitos sobre errores sistemáticos de
un determinado SIL (p. ej., SIL 3), es necesario que todo el
Tipo de errores en un circuito de seguridad, se distinguen sistema esté diseñado conforme a SIL 3. Otra posibilidad
dos tipos de errores, los sistemáticos y los aleatorios. Para consiste en utilizar dos dispositivos distintos (diversas
satisfacer el SIL requerido, hay que tener también en cuenta clases de redundancia) o dispositivos de distinta tecnología.
estos dos tipos de errores.
Equipos
Prólogo 11
Importante:
Sensor A
SIL 2 Sistema La evaluación del PFD o PFH de una arquitectura multicanal
de control Actuador
es más complicada. Para el cálculo del PFD promedio, puede
1oo2 SIL 3
Sensor B encontrar unas fórmulas de aproximación simplificada en la
SIL 2 norma VDI/VDE 2180 Parte 4.
Fuente
EC/DIN EN 61508 Parte 1 – Parte 7 | IEC/DIN EN 61511 Parte 1 – Parte 3 | VDI/VDE 2180
12 Seguridad funcional
8. Datos característicos
Seguridad integral del hardware (HFT, SFF) para Tolerancia a fallos del hardware (HFT) La tolerancia a
la clasificación SIL, se utilizan además las siguientes fallos del hardware se refiere a la capacidad del dispositivo
magnitudes características: a seguir realizando correctamente la función de seguridad
• Tolerancia a fallos del hardware (HFT) cuando se produce un error. Un HFT de N significa que
• Fracción de fallo seguro (SFF) a partir de N+1 fallos el dispositivo puede perder su
Las siguientes tablas presentan una relación de los capacidad de realizar la función de seguridad.
mismos.
En este contexto, se hace también una distinción entre Fracción de fallo seguro (SFF) la fracción de fallo seguro
sistemas de Tipo A y sistemas de Tipo B. describe el tanto por ciento de fallos no peligrosos. Cuanto
mayor es el SIL requerido, tanto mayor ha de ser también
Sistemas de Tipo A se puede considerar que un sistema el SFF. El SFF de un sistema se determina a partir de las
es de Tipo A cuando el comportamiento en caso de fallo tasas de fallo (valores ) de los distintos componentes del
que presentan los componentes requeridos para la función sistema.
de seguridad puede describirse en términos sencillos. Entre
estos componentes se incluyen resistencias de película
metálica, transistores, relés, etc.
Fracción de fallo seguro Tolerancia a fallos del hardware Tolerancia a fallos del hardware (HFT)
(SFF) (HFT) (Tipo B – equipos complejos)
(Tipo A – equipos sencillos)
0 1 2 0 1 (0*) 2 (1*)
< 60 % SIL 1 SIL 2 SIL 3 Inadmisible SIL 1 SIL 2
60% a < 90% SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3
90% a < 99% SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4
≥ 99% SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4
* Con documento acreditativo de prestaciones verificadas conforme a IEC/EN 61511 (solo para SIL < 4)
Datos característicos
Prólogo 13
Tasa de fallo la capacidad que tiene un sistema para Intervalo entre pruebas (Ti) las pruebas recurrentes de
detectar fallos y responder debidamente desempeña funcionamiento (cada Ti) se utilizan para detectar fallos
un papel importante. Por eso, se distingue entre fallos peligrosos. La función de seguridad de un dispositivo ha
peligrosos y fallos seguros, teniéndose así mismo en cuenta de comprobarse y probarse a intervalos apropiados. Esta
la capacidad para descubrir dichos fallos. magnitud se incluye en los cálculos de las magnitudes
características PFD/PFH y debe escogerse de tal forma que
La tasa de fallo debido a fallos se define mediante la esté comprendida en la gama requerida para alcanzar el SIL
variable λ y subdivide en cuatro grupos. deseado.
• λ SD = tasa de fallo seguro detectado
• λ SN = tasa de fallo seguro no detectado El operador es el que tiene la responsabilidad de
• λ PD = tasa de fallo peligroso detectado seleccionar el tipo de inspecciones e intervalos adecuados.
• λ PN = tasa de fallo peligroso no detectado Las pruebas deben realizarse de tal forma que quede
claramente demostrado el perfecto funcionamiento del
Los fallos peligrosos no detectados (λPN) implican una sistema instrumentado de seguridad en relación con todos
disminución indetectable de la función de seguridad sus componentes.
y deben mantenerse a un nivel mínimo utilizando las
medidas oportunas.
La unidad en la que se expresan los valores de λ es FIT Prueba de funcionamiento
to
PFD
na d e
en
(fallos en tiempo, 1 × 10-9 por hora).
c io eb a
(intervalo entre pruebas Ti)
mi
0,1
funn pr u
Si
SIL 1
0,01 PFDprom
DU SIL 2
DD
0,001 SIL 3
0,0001
SIL 4
Ti p. ej. 1 año Vida útil
PFDprom = ½ λPD x Ti
9. Glosario
SIL (Safety Integrity Level) El nivel de seguridad integral (SIL) es un criterio de referencia para conocer la
seguridad integral de un sistema. La seguridad integral es la probabilidad de que el
sistema realizará la función de seguridad requerida bajo todas las condiciones definidas
y durante el periodo de tiempo especificado. El SIL se ha desglosado en cuatro niveles
distintos, siendo el nivel de seguridad integral 4 el nivel de máxima seguridad integral y
el nivel de seguridad integral 1 el de más baja seguridad integral.
Seguridad funcional La capacidad de un sistema de realizar las acciones necesarias para alcanzar o mantener
un determinado estado de seguridad de los sistemas controlados por el sistema.
Tasa de fallo La tasa de fallo de un sistema , clasificada generalmente en cuatro grupos según tipo de
fallo:
SD = tasa de fallo seguro detectado
SN = tasa de fallo seguro no detectado
PD = tasa de fallo peligroso detectado
PN = tasa de fallo peligroso no detectado
FIT (Failure In Time) Fallos en una unidad de tiempo (1 × 10-9 por hora)
HFT (Hardware Fault Tolerancia a fallos del hardware; un HFT de N significa que a partir de N+1 fallos puede
Tolerance) perder el hardware su capacidad para realizar la función de seguridad.
PFD (Probability of Failure Probabilidad de fallo bajo demanda; la PFD es la probabilidad de que falle la función
on Demand) de seguridad cuando se necesita su acción en el modo de operación de baja demanda
(probabilidad de que el sistema falle con resultados peligrosos al requerir su acción).
PFH (Probability of Failure Probabilidad de fallo peligroso por hora. Cuando la demanda de la función de seguridad
per Hour) es alta o constante, se utiliza la PFH cuyo valor numérico representa la probabilidad de
que falle la función de seguridad en una hora (tasa de fallos peligrosos).
MooN (M out of N) M de N. Arquitectura con M de N canales. Por ejemplo, una arquitectura de dos canales
en la que cada uno de los canales puede realizar un función de seguridad.
Proof test (Ti) Prueba de comprobación que se repite tras cada intervalo de tiempo Ti. Es una prueba
recurrente de funcionamiento que se utiliza para detectar fallos en un sistema SIL a fin
de poder poner el sistema de nuevo en un estado seguro.